Les prédateurs sur Internet

Peu importe l’âge des victimes potentielles, peu importe leurs activités sur le Web : discussion sur les réseaux sociaux, recherche d’informations ou lecture de vidéos. Les cybercriminels disposent d’un arsenal adapté à tous les âges, depuis l’écolier jusqu’au retraité. Ils cherchent à accéder à l’argent des utilisateurs, à leurs données personnelles et aux ressources de l’ordinateur. En fait, ils recherchent tout ce qui peut leur permettre de gagner de l’argent.

L’internaute peut devenir la victime des attaques les plus diverses, depuis les escroqueries utilisant les ransomwares Gimemo ou Foreign, jusqu’au recrutement dans un réseau de zombies de type Andromeda, en passant par le vol d’argent sur un compte en banque grâce à Zeus/Zbot, ou encore le vol de mots de passe via le logiciel espion Fareit. Dans la majorité des attaques, un fichier exécutable malveillant est téléchargé et installé sur l’ordinateur, mais il existe des exceptions, par exemple XSS ou CSRF où la victime est confrontée à l’exécution d’un code HTML intégré.

Mécanique de l’attaque

Pour que l’attaque réussisse, l’utilisateur doit passer par le site malveillant depuis lequel le fichier malveillant sera téléchargé sur son ordinateur. L’individu malintentionné dispose de plusieurs astuces pour attirer l’utilisateur, en utilisant un lien diffusé par courrier électronique, SMS ou réseau social. Il peut également promouvoir son site Internet pour lui assurer une bonne place dans les moteurs de recherche. Une autre tactique consiste à compromettre une ressource légitime très visitée ou un réseau d’échange de bannières actif et de les transformer en vecteur d’attaque contre les visiteurs.

Le téléchargement et l’installation du programme malveillant se déroulent d’une des deux manières suivantes. La première, qui est un téléchargement drive-by, repose sur l’exploitation de vulnérabilités dans un logiciel utilisé par la victime. Il peut même arriver que le visiteur du site infecté ne remarque pas qu’un programma malveillant a été installé car aucun signe ne se manifeste.

La deuxième méthode implique l’ingénierie sociale. L’utilisateur trompé télécharge et installe lui-même le programme malveillant sur son ordinateur en pensant qu’il s’agit d’un lecteur Flash ou d’une autre application populaire.

Threat_landscape_1

Schéma d’une attaque via Internet avec téléchargement d’un fichier exécutable malveillant

Liens et bannières malveillants

La manière la plus simple d’attirer une victime sur un site malveillant consiste à mettre bien en vue une bannière attrayante associée à un lien. En général, ces bannières sont affichées sur des sites au contenu illégal, sur des sites pornographiques ou encore sur des sites de téléchargement de logiciels et de films pirates, etc. Ce genre de site peut avoir une activité « honnête » pendant de longues périodes, le temps de bâtir sa réputation. Une fois que le nombre de visites atteint un niveau suffisant, les bannières et les liens vers les ressources malveillantes sont diffusés.

Le malwaretizing ou redirection de l’utilisateur vers un site malveillant à l’aide de bannières masquées est une autre méthode très populaire. Les réseaux de bannières douteux, qui attirent les administrateurs de sites en raison des sommes élevées payées par affichage et par clic, sont souvent utilisés pour diffuser des programmes malveillants.

Quand l’internaute arrive sur le réseau malveillant qui installe la bannière, une fenêtre "pop under" s’ouvre dans le navigateur de la victime. Il s’agit d’une fenêtre qui s’ouvre soit sous la fenêtre du site, soit dans l’onglet voisin inactif. Le contenu de ce genre de fenêtre dépend souvent de l’emplacement géographique de l’internaute : les utilisateurs peuvent être redirigés vers des ressources différentes en fonction de leur emplacement géographique. Ainsi, les visiteurs d’un pays peuvent simplement voir une publicité telle que

Threat_landscape_2

Le site renvoie l’internaute américain vers watchmygf[]net

Threat_landscape_3

Le site renvoie l’internaute russe vers la ressource runetki[]tv

…tandis que les visiteurs d’autres pays sont attaqués à l’aide de kits d’exploitation.

Threat_landscape_4

Internaute japonais attaqué par un code d’exploitation et qui reçoit le Trojan espion Zbot

Dans de rares cas, des bannières malveillantes font leur apparition sur des réseaux honnêtes, malgré la vigilance des administrateurs. Des cas de ce genre ont été enregistrés dans le réseau de bannières Yahoo, ainsi que sur YouTube.

Diffusions de courrier indésirable

Le courrier indésirable est une des méthodes les plus répandues pour attirer les victimes sur des ressources malveillantes. Il s’agit de messages envoyés par courrier électronique, SMS, client de messagerie instantanée, réseaux sociaux, messages sur les forums ou commentaires sur un blog.

Le message dangereux peut contenir le fichier du programme malveillant ou un lien vers le site infecté. Pour amener le destinataire à cliquer sur le lien ou sur le fichier, les individus malintentionnés exploitent l’ingénierie sociale :

  • L’expéditeur se fait passer pour une organisation réelle ou utilise le nom d’une vraie personne.
  • Le message se présente sous les traits d’une notification légitime, voire d’un message personnel.
  • Le fichier est nommé de telle sorte que la victime le considère comme une application utile ou un document nécessaire.

Threat_landscape_5

Dans le cadre d’attaques ciblées, lorsque les individus malintentionnés attaquent une organisation spécifique, le message malveillant peut copier le message d’un correspondant authentique de cette organisation. Dans ce cas, l’adresse de la réponse, le contenu et la signature peuvent être identiques à ceux de messages envoyés par des partenaires commerciaux par exemple. Le destinataire qui ouvre un document en pièce jointe nommé « facture.docx » expose alors son ordinateur à un risque d’infection.

Référencement noir

Le référencement (SEO) désigne un ensemble de techniques permettant d’améliorer la position d’un site dans les résultats de recherche. De nos jours, les utilisateurs à la recherche d’informations ou de service se tournent vers les moteurs de recherche. Plus un site est bien référencé, plus il est facile de le trouver et plus son nombre de visiteurs augmente.

Outre les techniques de référencement légitimes approuvées par les moteurs de recherche, il existe des techniques interdites qui visent à tromper les résultats. Le classement d’un site peut être amélioré suite à l’action d’un réseau de zombies, lorsque des milliers de bots envoient des requêtes de recherche déterminées et choisissent le site malveillant parmi les résultats, augmentant ainsi son classement. L’aspect du site en lui-même peut varier en fonction du visiteur. Alors que le robot du moteur de recherche verra une page en rapport avec la recherche, l’utilisateur lambda, quant à lui, sera redirigé vers un site malveillant.

Threat_landscape_6

De même, les liens vers un site peuvent être diffusés à l’aide d’un utilitaire spécial sur des forums et autres sites connus des moteurs de recherche, ce qui augmente le classement du site et, par conséquent, sa position dans les résultats de recherche.

En général, les sites qui sont promus à l’aide du référencement noir sont bloqués par les administrateurs des moteurs de recherche. C’est la raison pour laquelle ils sont créés par centaines à l’aide d’outils automatiques.

Sites légitimes infectés

Il arrive parfois que les individus malintentionnés infectent un site légitime au trafic élevé afin de diffuser leurs programmes. Il peut s’agir d’un site d’information, d’un magasin en ligne, d’un portail quelconque ou d’un agrégateur d’informations.

Le site peut est infecté à l’aide de deux méthodes. Dans un premier cas, si les individus malintentionnés identifient une application vulnérable sur le site, ils peuvent y télécharger un code malveillant (par exemple une injection de code SQL). Autrement, les individus malintentionnés utilisent les informations d’identification obtenues de l’administrateur du site à l’aide d’un Trojan, d’une attaque de phishing ou d’une astuce d’ingénierie sociale. Une fois que les individus malintentionnés ont pris les commandes du site, ils peuvent l’infecter d’une manière ou d’une autre. Dans les cas les plus élémentaires, une balise iframe contenant un lien vers une ressource malveillante est ajoutée au code HTML de la page.

Kaspersky Lab identifie chaque jour des milliers de sites légitimes qui infectent leurs visiteurs avec des programmes malveillants à leur insu. Parmi les cas les plus marquants, nous pourrions citer le Trojan Lurk, repéré sur les sites de RIA Novosti et gazeta.ru ou l’infection du site PHP.Net.

Le visiteur du site infecté devient alors la victime d’une attaque par téléchargement « drive-by » : l’attaque se déroule à l’insu de l’utilisateur et sans aucune intervention de ce dernier. Un code d’exploitation, ou un kit d’exploitation, est téléchargé depuis le site qui permet de lancer un fichier malveillant exécutable si l’ordinateur de la victime est doté d’une application vulnérable.

Kits d’exploitation

L’outil le plus efficace pour infecter l’ordinateur de la victime est le kit d’exploitation, par exemple Blackhole. Ce produit se vend très bien sur le marché noir : les kits d’exploitation sont produits à la demande ou de façon standard. Ils possèdent un service d’assistance et sont mis à jour. Le prix d’un kit dépend du nombre de codes d’exploitation qu’il renferme et de leur "fraîcheur", de la simplicité de l’administration, de la qualité de l’assistance technique, de la fréquence des mises à jour et du vendeur.

Vu que les attaques se déroulent via le navigateur, les codes d’exploitation doivent tirer profit des vulnérabilités du navigateur, de ses plug-ins ou d’une application tierce que le navigateur charge pour traiter le contenu. Si un code d’exploitation est exécuté avec succès, un fichier exécutable malveillant est lancé sur l’ordinateur de la victime.

Threat_landscape_7

Threat_landscape_8

Ensemble typique de plug-ins pour le navigateur Internet Explorer qui ne requièrent par défaut aucune autorisation pour le lancement. Les plug-ins soulignés en rouge contiennent des vulnérabilités qui sont souvent exploitées pou attaquer un système.

Un kit efficace contiendra des codes d’exploitation pour des vulnérabilités actuelles dans des navigateurs très utilisés et leurs plug-ins ainsi que pour Adobe Flash Player et d’autres programmes populaires. Souvent, le kit d’exploitation est doté d’un outil capable de réaliser une configuration de précision et de récolter des statistiques sur l’infection.

Threat_landscape_9

Panneau d’administration du kit d’exploitation Styx

Téléchargement direct par l’utilisateur

Les individus malintentionnés n’ont pas toujours besoin de se tourner vers des outils complexes et chers pour introduire un programme malveillant sur les ordinateurs de leurs victimes. Il est possible de tout simplement les tromper et de les amener à télécharger et à installer eux-mêmes ce programme.

Par exemple, un utilisateur sur un site pornographique voit la bande-annonce d’une vidéo pour adultes. Une fois qu’il a cliqué sur la vidéo, un message signale qu’il doit actualiser sa version d’Adobe Flash Player. De fait, le site lui propose directement le fichier à télécharger sous un nom qui ne suscite aucun doute. En installant la "mise à jour", l’utilisateur infecte en réalité son ordinateur avec un Trojan.

Threat_landscape_10

Message affiché lors de la tentative de lecture d’une vidéo pornographique sur un site malveillant

Dans d’autres scénarios, l’utilisateur voit une page Internet qui imite la fenêtre « Mon ordinateur » et qui indique qu’un nombre important de virus a été détecté. Juste à côté apparaît une petite fenêtre qui propose de télécharger un « antivirus gratuit » pour résoudre ce problème.

Threat_landscape_11

Proposition d’installation d’un antivirus gratuit qui est en réalité un Trojan

Infection via les réseaux sociaux

Les utilisateurs imprudents des réseaux sociaux sont exposés aux attaques des vers semi-automatiques. La victime potentielle reçoit un message d’un de ses amis qui lui propose de bénéficier d’une fonction intéressante qui n’est pas offerte par le réseau social (mention « je n’aime pas », divulgation des informations confidentielles des autres utilisateurs),etc. Pour pouvoir profiter de cette fonction, l’utilisateur doit ouvrir la console JavaScript du navigateur et y saisir un code déterminé.

Threat_landscape_12

Instructions pour l’installation d’un ver Facebook semi-automatique

Une fois ces actions réalisées, le ver s’active et commence à récolter des informations sur l’utilisateur, à diffuser des liens vers sa copie aux amis de la victime et à attribuer des mentions « j’aime » à différentes publications. Cette dernière fonction est un service payant que le propriétaire du ver propose à ses clients. Nous arrivons ainsi à ce qui motive les individus malintentionnés à faire preuve d’autant d’imagination.

Money, Money, Money

Il va de soi que les individus malintentionnés n’attaquent pas nos ordinateurs pour le plaisir. Ils cherchent toujours à gagner de l’argent. Une méthode illégale très répandue pour en gagner consiste à utiliser un Trojan de type ransomware qui va empêcher l’utilisation de l’ordinateur tant que la victime n’aura pas payé une somme déterminée utilisée comme rançon.

Une fois à l’intérieur du système, le Trojan identifie le pays où se trouve l’ordinateur infecté et affiche l’écran de blocage correspondant avec la menace et les instructions de paiement. Le pays de l’utilisateur va déterminer la langue du message et le mode de paiement proposé par les cybercriminels.

En général, les individus malintentionnés accusent l’utilisateur d’avoir regardé des images de pédopornographie ou d’avoir réalisé une activité illégale quelconque. Ensuite, ils menacent l’utilisateur de poursuites judiciaires ou de divulgation de ces informations, ce qui amène la victime à prendre la menace au sérieux et ils n’osent pas contacter la police. Pour achever de convaincre la victime, les Trojans de type ransomware peuvent menacer de détruire tout le contenu du disque dure si l’argent demandé n’est pas versé dans le délai convenu.

Threat_landscape_13

Ecran de blocage du Trojan-Ransom.Win32.Foreign aux Etats-Unis

Les cybercriminels proposent de payer cette "amende" via l’envoi d’un SMS à un numéro surfacturé ou via un transfert à l’aide d’un système de paiement. La victime doit alors recevoir le code de déblocage qui désactivera le cheval de Troie. Dans la pratique, cela n’arrive jamais.

Les communications avec la victime pourraient permettre à la police de retrouver les individus malintentionnés et souvent, les cybercriminels préfèrent ne prendre aucun risque et laissent la victime avec un ordinateur inutilisable.

La collecte et la vente d’informations confidentielles est une autre méthode répandue pour gagner de l’argent. Les coordonnées et les informations personnelles se vendent facilement sur le marché noir, à des prix assez bas. De plus, afin d’obtenir ces informations, il n’est pas nécessaire d’infecter l’ordinateur de l’utilisateur à l’aide d’un programme malveillant. Souvent, la victime fournit elle-même toutes les informations demandées : ce qui compte, c’est que le site où se trouve le formulaire de saisie des données inspire confiance.

Threat_landscape_14

Faux site pour la collecte des coordonnées et des informations personnelles des visiteurs en vue de les abonner à des services mobiles payants.

Les Trojans bancaires sont ceux qui permettent de gagner le plus d’argent. Ces programmes sont développés pour vider les comptes en banque des victimes via les services de transactions bancaires en ligne. Un programme malveillant de ce type vole les données d’identification de l’utilisateur sur un site bancaire. En général, cela ne suffit pas car la majorité des banques et des systèmes de paiement requiert une authentification à plusieurs facteurs : saisie d’un code SMS, utilisation d’une clé USB, etc. Dans ce cas, le Trojan attend le moment où l’utilisateur va réaliser un paiement quelconque via la plate-forme de transaction en ligne, remplace les données du paiement et envoie l’argent vers des comptes spéciaux d’où les individus malintentionnés pourront retirer l’argent en liquide. Il existe d’autres technologies pour déjouer l’authentification à deux facteurs : les Trojans peuvent intercepter les SMS contenant les mots de passe à usage unique ou "geler" le système pendant l’insertion de la clé USB afin de réaliser l’opération à distance dans le dos de l’utilisateur pendant que celui-ci analyse la situation et se demande s’il faut redémarrer le système.

Enfin, parmi les autres activités rentables, il faut citer les réseaux de zombies. Les ordinateurs infectés par un bot peuvent être utilisés pour réaliser diverses actions qui peuvent rapporter de l’argent à l’individu malintentionné : extraction de Bitcoins, diffusion de courrier indésirable, attaques DDoS, amélioration du classement d’un site sur la base du nombre de recherches.

Résistance

Comme nous venons de le voir, les menaces sur Internet sont très variées et peuvent toucher l’internaute pratiquement partout : pendant la lecture de ses emails, sur les réseaux sociaux, en lisant la presse ou tout simplement lorsqu’il navigue sur le Web. Les méthodes de protection contre ces menaces sont également nombreuses, mais on peut les résumer en quatre poins clés :

  • Toujours être vigilant sur Internet : faire attention aux sites visités, aux fichiers chargés et aux applications exécutées sur l’ordinateur.
  • Ne pas faire confiance aux messages émanant d’utilisateurs ou d’organisations inconnus, ne pas cliquer sur les liens envoyés et ne pas ouvrir les pièces jointes.
  • Réaliser une mise à jour régulière des applications utilisées, surtout celles qui fonctionnent avec le navigateur.
  • Installer une solution de protection moderne et veiller à l’actualité des bases antivirus.

Cela paraît évident, mais le nombre croissant d’infections démontre clairement que certains utilisateurs ne prêtent pas attention à leur sécurité et n’appliquent pas ces conseils. Nous espérons que ce panorama des menaces sur Internet contribuera à changer la situation.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *