Redirections dans le courrier indésirable

Les diffuseurs de courrier indésirable exploitent beaucoup leš principe de la redirection dans leurs messages : le destinataire d’un de ces messages qui clique sur le lien transite souvent par toute une série de sites Internet avant d’arriver sur la ressource finale.

Plusieurs éléments peuvent expliquer l’utilisation des redirections. Dans la majorité des cas, cette technique permet aux diffuseurs de messages non sollicités de masquer les données qui permettent aux filtres antispam d’identifier les messages non sollicités, par exemple le site ou le numéro de téléphone du commanditaire. Dans ce cas, le destinataire (et le filtre antispam) ne voit dans le message aucun lien vers le site promu, ni les numéros de téléphone ou les adresses de messagerie à utiliser pour contacter les commanditaires de la diffusion. Le message contient uniquement un lien vers un site intermédiaire. De plus, si le diffuseur de messages non sollicités travaille au sein d’un partenariat, il doit absolument savoir combien de personnes ont cliqué sur le lien car c’est ce chiffre qui va déterminer son revenu. Ainsi, la chaîne de sites Internet que va suivre l’utilisateur peut contenir un site de redirection qui remplit la fonction de compteur.

Cet article est consacré aux astuces les plus utilisées par les diffuseurs de courrier indésirable faisant intervenir, directement ou non, les redirections, aux types de redirection les plus répandus et aux caractéristiques et aux sujets des messages non sollicités avec redirection qui, chaque jour, sont source d’inconvénients pour les utilisateurs du monde entier.

Types de redirection

Il existe différentes méthodes pour classer les redirections. Nous allons nous baser sur l’objet utilisé pour réaliser la redirection.š Les deux méthodes les plus répandues sont la redirection à l’aide d’un lien et la redirection à l’aide de pages HTML en pièce jointe.

Liens

L’utilisation de liens pour rediriger le destinataire est une vieille astuce des diffuseurs de courrier indésirable.š Quand le destinataire clique sur ce genre de lien, il arrive sur une page Web. Depuis cette page, il est redirigé vers le site Internet cible à l’aide d’une méthode de redirection (les différentes méthodes existantes sont présentées ci-après). La page intermédiaire peut être une page sur un site légitime compromis par les diffuseurs de courrier indésirable ou un site spécialement créé par ces diffuseurs afin de rediriger le destinataire vers d’autres sites.

Une autre astuce simple adoptée par les diffuseurs de courrier indésirable consiste à utiliser des services de raccourcissement d’URL afin de pouvoir créer un lien vers leur propre site, comme dans l’exemple présenté ci-dessous.


Il existe actuellement de nombreux services de ce genre. Ils permettent de raccourcir les URL, ce qui est très pratique sur les ressources qui limitent la taille du texte, comme Twitter. Il arrive que les diffuseurs de messages non sollicités n’utilisent pas les services existants et préfèrent créer leur propre service. L’absence de modérateur est un des avantages liés à l’utilisation de son propre service : personne ne vérifie où mène le lien créé par le diffuseur de messages non sollicités. Le désavantage est que n’importe quel filtre antispam peut bloquer un tel service dans son ensemble et arrêter en même temps la diffusion des messages non sollicités.

Pièces jointes HTML

Souvent, les diffuseurs de messages non sollicités utilisent pour la redirection des fichiers HTML spéciaux qui, à l’ouverture, renvoient l’utilisateur vers le site Internet objet du message non sollicité. Pour ce faire, ils utilisent diverses astuces et techniques que nous allons aborder ci-dessous. Ces fichiers sont envoyés en tant que pièce jointe du message non sollicité et les individus malintentionnés doivent simplement trouver une manière d’amener le destinataire à ouvrir la pièce jointe dans un navigateur.

Les diffuseurs de courrier indésirable utilisent un code de plus en plus complexe dans ces pages HTML afin que les filtres antispam ne détectent pas la redirection. De temps à autres, ils remplacent complètement les méthodes de redirection utilisées.

Voici des exemples de messages que nous avons reçus l’été dernier :


Le texte du message recourt à des méthodes traditionnelles pour amener le destinataire à ouvrir la pièce jointe. Que voyons-nous après avoir ouvert le fichierš? Au lieu de la vidéo promise de Victoria Norton, nous nous retrouvons sur le site objet de la diffusion de messages non sollicités. Il a suffit d’ouvrir le fichier HTML.


Dans le message cité dans le premier exemple, nous étions malgré tout redirigés vers la publicité promise pour des montres. Ici, nous nous sommes retrouvés sur un site compromis par les diffuseurs de courrier indésirable sans aucun type de publicité. Ce genre de diffusion démontre que parfois le diffuseur de messages non sollicités est plus intéressé par l’obtention d’adresses de messagerie réelles et par les revenus tirés du trafic généré par les détenteurs de ces adresses qui cliquent sur les liens (ce qui peut se produire en ouvrant un fichier HTML en pièce jointe) que par la promotion d’un article en particulier.

Aussi bien les liens de redirection et que les fichiers HTML utilisés pour les redirections sont souvent utilisés dans le courrier indésirable. Chacune de ces méthodes utilise le navigateur de la victime pour la redirection, mais la réalisation des redirections dans le code source varie énormément tout comme les astuces utilisées par les diffuseurs de messages non sollicités pour faire fonctionner ces redirections chez le destinataire.

Astuces

Les méthodes utilisées par les diffuseurs de courrier indésirable pour les redirection sont bien connues. Certaines d’entre elles ont plus de 10 ans et sont toujours aussi populaires. La majorité des méthodes vise à déjouer les filtres antispam et à dissimuler le fait que le message contient une redirection. Nous allons aborder les démarches les plus utilisées par les diffuseurs de courrier indésirable dans le cadre de l’utilisation des redirections.

1. Redirections via JavaScript

Voici le code source d’une pièce jointe HTML responsable de la redirection.


Comme on le voit, les diffuseurs de courrier indésirable tentent de déjouer le filtre via une astuce simple : ils coupent le texte en morceaux contenant le lien (mis en évidence sur la capture d’écran) et modifient la valeur de l’objet location pour la redirection :

window.location = « http://…”; – la modification de cet objet est une méthode traditionnelle de redirection dans JavaScript, la redirection se produit sans intervention de l’utilisateur.

Les modifications suivantes ont le même effet :

document.location.href = “http://…
window.location.reload(“http://…”)
window.location.replace(“http://…”)

2. Utilisation de balises meta

Outre la modification de l’objet location, il est possible d’obtenir le même effet à l’aide d’une autre méthode de redirection : une balise HTML « meta » spéciale. Les balises meta servent normalement au stockage de différentes informations sur la page, par exemple le code, les en-têtes HTML, les mots clés du contenu, etc.

Une des applications de la balise peut être l’utilisation de l’en-tête refresh avec le paramètre url qui débouche également sur la redirection automatique de l’utilisateur lors du chargement de la page.


La taille réduite du fichier HTML ainsi obtenu est remarquable. Vu que la balise meta est décrite dans les en-têtes de la page, son contenu peut être vide, comme dans l’exemple ci-dessus. C’est pourquoi cette astuce est souvent utilisée dans les pages HTML envoyées en pièce jointe par les diffuseurs de messages non sollicités.

3. iframe menant à un site tiers

L’utilisation d’une balise iframe pour rediriger l’utilisateur vers un site non sollicité permet d’afficher sur la page active, au sein d’une zone d’une largeur et d’une hauteur définies, le contenu d’une autre page.


Quand l’utilisateur ouvre le fichier HTML en pièce jointe, le navigateur charge le contenu d’une autre page dans la zone définie par la balise iframe. Souvent, les diffuseurs de courrier indésirable définissent une grande superficie pour cette zone (dans ce cas, 100š% de largeur et 4š700 pixels de haut) et la page est alors complètement remplie par le contenu de l’autre site. La capture d’écran ci-dessous illustre le résultat de l’ouverture de cette pièce jointe : une publicité roumaine de cours d’anglais est chargée depuis un site externe dans la zone iframe et occupe tout l’écran du navigateur.


4. Configuration de .htaccess

La configuration des fichiers .htaccess sur un serveur tiers est une méthode pratique pour les diffuseurs de messages non sollicités, mais rarement employée. En règle générale, les diffuseurs de courrier indésirable reconfigurent ces fichiers sur leur serveur.

Le fichier .htaccess est généralement accessible uniquement à l’administrateur du serveur. S’il a été créé dans un répertoire quelconque sur un serveur et qu’il a été correctement rempli, l’utilisateur qui clique sur ces liens qui pointent vers ce répertoire est directement renvoyé vers la ressource indiquée dans le fichier .htaccess. Par exemple, si le diffuseur de courrier indésirable a placé dans le dossier /spamdir le fichier .htaccess avec un contenu spécial, tous les destinataires qui cliquent sur le lien dans le message non sollicité «http://example.org/spamdir» seront renvoyés automatiquement par le serveur vers un autre site dont l’adresse figure dans le fichier .htaccess.

En général, dans les paramètres du fichier en question, on retrouve la directive Redirect pour laquelle il faut définir la page d’origine de la redirection sur le site et la destination de la redirection (en rouge) :


Une autre méthode utilisée pour la redirection consiste à utiliser la directive RewriteCond qui définit une expression régulière à laquelle doit correspondre un lien. Associée à la directive RewriteRule , elle définit la règle de modification de l’adresse de la page active de l’utilisateur. Si l’adresse IP du visiteur de la page correspond à l’expression régulière définie par RewriteCond, ce visiteur sera redirigé vers l’adresse définie par la directive RewriteRule

Les individus malintentionnés utilisent souvent cette astuce pour rediriger les utilisateurs vers les sites du partenariat qui conviennent le mieux en fonction du pays et de la région de l’adresse IP. La redirection dans ce cas est plus ciblée et plus efficace.

Voici un exemple typique d’utilisation de .htaccess qui redirige les visiteurs en provenance des sous-réseaux indiqués.


5. Utilisation de PHP

L’exploitation des possibilités de différents langages de script est une méthode de redirection des utilisateurs rarement employées mais que l’on rencontre malgré tout.

La méthode la plus simple consiste à organiser la redirection à l’aide de PHP :

<?php
header(’Location: http://…’); ?>

L’en-tête HTML Location est transmise au navigateur ce qui permet de rediriger l’utilisateur vers le site indiqué.

D’autres en-têtes qui reprennent différents codes d’état HTTP (3xx) sont également souvent transmises. Ceci indique qu’une redirection se trouve sur cette page.

<?php header(« HTTP/1.1 301 Moved Permanently « );
header(« Location: http://… »);
exit();
?>

Offuscation du contenu

Voici des exemples de message que nous avons reçus en septembre.


Les diffuseurs de messages non sollicités utilisent un autre piège : la victime potentielle reçoit un message d’escroquerie avec un fichier HTML en pièce jointe. Ce message se présente sous les traits d’un rapport sur l’état d’une transaction. Une fois que le fichier a été ouvert, les diffuseurs du message signalent ouvertement que le destinataire va être redirigé vers une autre page, mais ils ne disent pas qu’il s’agit d’une page de phishing.


Parfois, les diffuseurs de courrier indésirable placent le code source de la redirection non pas dans une pièce jointe HTML, mais bien dans le message en espérant que l’utilisateur utilise une ancienne version du client de messagerie (les applications récentes intègrent une protection contre le chargement de n’importe quel contenu depuis Internet) et la redirection a lieu directement pendant la lecture du message :


Nous allons passer en revue le code source d’un de ces messages pour comprendre comment se déroule la redirection :


Comme nous le voyons, les diffuseurs de courrier indésirable adoptent à nouveau des redirections JavaScript, mais cette fois-ci, l’obfuscation du code source est plus poussée. Ils utilisent également des constantes de matrice, des symboles de valeurs numériques qui servent ensuite à créer la diffusion (comme on l’a découvert plus tard, ces valeurs sont multipliées par la fonction du numéro de série de l’élément de matrice).

Voyons ce que nous obtenons après la désobfuscation du code. Nous retirons le script du code HTML et nous utilisons par exemple JsPretty avec jsbeautifier.


Nous voyons ainsi que le lien se trouvait bel et bien dans le script. Mais où était-il enregistréš?

Pour comprendre les astuces utilisées par les diffuseurs de courrier indésirable pour masquer la présence d’un lien et déjouer les filtres antispam, nous allons étudier tous les étapes de l’outil de désobfuscation.

Tout d’abord, nous allons rendre le script lisible : nous allons rétablir les indentations, les espaces entre les opérateurs et les sauts de ligne.


Le code est plus facile à comprendre, mais cela ne suffit pas. Nous allons maintenant le simplifier manuellement et tenter de comprendre ce qui se passe :

  • Nous retirons les variables et les opérateurs qui sont toujours exécutés.
  • Nous suivons les valeurs des variables et leur substitution.
  • Nous voyons les appels obtenus au final.


Désormais, nous voyons que le script vise à :

  1. 1) créer la ligne s requise contenant le code exécutableš;

  2. 2) exécuter le code (ligne à partir deš window[eval]).


Suite à l’exécution du cycle, la ligne s contiendra le code suivant :

Et enfin, le voici, le lien via lequel la victime sera redirigée.

Nous pouvons maintenant comprendre l’algorithme utilisé par les diffuseurs de courrier indésirable en générant des pièces jointes JavaScript similaires :

  1. scinder le lien en caractères, prendre leur valeur en bits et enregistrer la fonction de ces valeurs dans la matrice.
  2. Le cycle appelle les fonctions qui créent le lien au départ des valeurs dans la matrice.
  3. Ajouter des affectations de valeur complémentaires de variables à d’autres afin de modifier et de masquer leur nom d’origine.
  4. Ajouter à toutes les parties du code les blocs if et try-catch avec des arguments authentiques.
  5. Applique les étapes 1 à 4 à plusieurs reprises pour obtenir un code illisible.

L’ensemble du schéma de la redirection est présenté ci-après :


Sujets des messages avec redirection

Les redirections, qui visent à masquer le lien réel ou les coordonnées des diffuseurs des messages non sollicités, figurent dans les messages non sollicités de n’importe quel sujet et sont de plus en plus populaires au fil des ans.

S’agissant des messages avec des pages HTML en pièce jointe, la situation est différente. En général, les liens dans ces messages mènent à des sites de phishing mis en place par des individus malintentionnés pour obtenir les mots de passe d’accès aux boîtes aux lettres des utilisateurs. Ils peuvent mener également à des publicités pour des applications ou des services divers, mais cela est plus rare.

Ces derniers temps, le nombre de diffusions avec des redirections vers des sites de rencontre a augmenté.

Nous avons déjà cité plus haut le fait que le destinataire du message peut être redirigé vers un site non sollicité ou l’autre en fonction de son adresse IP. Lesš diffuseurs de messages non sollicités utilisent cette astuce afin de gagner plus d’argent à l’aide d’un lien. Ils participent à plusieurs partenariats et redirigent la victime vers celui qui convient le mieux en fonction de la région où habite cette victime. Ainsi, au départ d’un même lien, un utilisateur en Europe peut se retrouver sur un site de phishing tandis qu’un utilisateur en Russie arrivera sur un site de rencontre.

Conclusions

L’utilisation d’une astuce ou l’autre de redirection est un excellent exemple du développement des diffusions de messages non sollicités au fil du temps. Certaines de ces méthodes sont simples et évidentes pour le destinataire qui comprend qu’il est redirigé vers un autre site. A côté de ces méthodes, il existe des méthodes plus complexes dans le cadre desquelles la redirection se produit via plusieurs sites à l’insu de l’utilisateur qui ne voit que la page finale. De plus, une grande partie des diffusions avec redirection est composée de messages dans lesquels les liens non sollicités sont profondément enfouis dans le code source de la pièce jointe HTML. Les experts de la lutte contre le courrier indésirable possèdent de nombreux outils qui leur permettent d’intercepter ces différents types de diffusion de messages non sollicités. Ainsi, les filtres antispam pourraient réaliser la désobfuscation complète de tout le code ou considérer la présence de code obfusqué dans le message comme indice du caractère non sollicité du message (la deuxième méthode peut entraîner des faux positifs). Dans ce cas, il est plus simple de bloquer la diffusion sur la base du contenu ou d’attributs formels que de tenter de désobfusquer le code pour chaque message.

Les redirections sont particulièrementš dangereuses lorsque les messages diffusent des liens vers des programmes malveillants ou lorsqu’il s’agit de message de phishing ou d’escroquerie. D’un côté, les utilisateurs deviennent plus prudents et l’efficacité de ces diffusions va diminuer. D’un autre côté, il existera toujours de nouveaux utilisateurs d’Internet et pour ceux-ci, il est parfois difficile de déjouer les pièges des individus malintentionnés. Nous tenons à rappeler quelques conseils simples qui permettront d’améliorer sensiblement la sécurité de votre ordinateur :

  • N’ouvrez pas les fichiers HTML en pièce jointe si vous ne connaissez pas l’expéditeur. Ceci s’applique d’ailleurs à tous les types de pièce jointe.
  • Vérifiez la destination du lien avant de l’ouvrirš; dans la majorité des navigateurs et des clients de messagerie, il suffit de placer le curseur sur le lien pour voir la destination. Ne cliquez pas sur le lien si vous avez des doutes sur la fiabilité de l’expéditeur.
  • Ne tentez pas de vous désabonner des diffusions non sollicitées car cela ne fera qu’indiquer à l’auteur de la diffusion que votre adresse est bel et bien active et vous serez repris dans d’autres diffusions. Il est préférable de supprimer directement le message non sollicité reçu.
  • Utilisez des solutions de protection qui intègrent des technologies antivirus et antispam et téléchargez les mises à jour à intervalle régulier.

Et n’oubliez pas les règles de sécurité générales sur Internet. Si vous les respectez, vous ne deviendrez pas la prochaine victime d’escrocs ou autres individus malintentionnés.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *