Courrier indésirable et phishing au premier trimestre 2016

Contenu

Courrier indésirable : particularités du trimestre

Tendance : augmentation marquée du volume de spam malveillant

Au cours du 1er trimestre 2016, nous avons remarqué une hausse sensible du nombre de messages non sollicités contenant des pièces jointes malveillantes. Au cours des deux dernières années, le nombre de déclenchements de l’Antivirus Courrier chez nos clients se maintenait dans une plage comprise entre 3 et 6 millions par mois. Ce chiffre a commencé à augmenter à la fin de l’année dernière et au début de l’année 2016, il a fait un bon magistral.

Courrier indésirable et phishing au premier trimestre 2016

Nombre de déclenchements du module courrier de l’Antivirus chez les clients de Kaspersky Lab

Le nombre de déclenchements enregistrés au mois de mars a atteint 22 890 956 cas, soit 4 fois plus que la moyenne mensuelle de l’année dernière.

On aurait pu croire qu’avec le développement des attaques de type « drive-by-download », les pièces jointes malveillantes auraient cédé la place aux sites malveillants sur lesquels les victimes arrivent après avoir cliqué sur un lien dans un message. Toutefois, le recours aux messages possède ses avantages (pour les individus malintentionnés), notamment le fait que le contenu du message peut convaincre la victime non seulement de télécharger le fichier malveillant, mais également de l’exécuter. Il se peut également que la nouvelle vague de popularité des pièces jointes malveillantes soit liée au fait qu’au cours des deux dernières années, les développeurs des navigateurs les plus utilisés ont pensé à ajouter à leurs produits des solutions de protection contre l’accès aux sites infectés et de phishing (solutions développées en interne ou partenariat avec de grands éditeurs de logiciels antivirus). La protection intégrée au niveau des clients de messagerie n’a pas encore atteint ce niveau. Par conséquent, si la victime potentielle n’utilise pas de logiciel antivirus, il est plus simple d’infecter son ordinateur via le courrier.

Que trouve-t-on dans ces messages ?

La diversité des pièces jointes malveillantes est impressionnante. On retrouve les classiques fichiers exécutables EXE ainsi que les documents Office (DOC, DOCX, XLS, RTF) avec des macros malveillantes, sans oublier des applications programmées en Java et Javascript (fichiers JS, JAR, WSF, WRN et autres).

Courrier indésirable et phishing au premier trimestre 2016

Trojan-Downloader programmé en Java en pièce jointe

Il faut signaler également la multitude de langues dans lesquelles le spam malveillant est diffusé. Outre l’anglais, nous avons détecté souvent des messages en russe, en polonais, en allemand, en français, en espagnol, en portugais et dans d’autres langues.

spam_report_q1_2016_fr_3

Pièce jointe contenant le trojan bancaire Gozi

Les messages prenaient généralement la forme d’une communication relative à une facture impayée ou d’une correspondance commerciale.

spam_report_q1_2016_fr_4

Fichier .doc malveillant avec trojan-downloader. Grâce à une macro écrite en Visual Basic, le fichier malveillant peut télécharger et exécuter le ransomware Cryakl

spam_report_q1_2016_fr_5

La pièce jointe contient un malware de type backdoor qui est capable de télécharger d’autres malwares sur l’ordinateur infecté.

Nous souhaiterions attirer une attention particulière sur les messages qui contiennent des Trojans-downloaders qui téléchargent le ransomware Locky. Les individus malintentionnés avaient utilisé différents types de fichiers pour réaliser l’infection : il y avait eu tout d’abord les fichiers .doc avec des macros malveillantes, puis des scripts JS. Afin de déjouer les filtres, les individus malintentionnés à l’origine d’une campagne en particulier avaient rendu chaque copie du fichier exécutable unique afin de déjouer les filtres. De plus, le contenu des messages variait, ainsi que les langues utilisées. Ce qui n’a rien d’étonnant vu que d’après KSN, des attaques de ce ransomware ont été recensées dans 114 pays.

spam_report_q1_2016_fr_6

Exemple de message avec le ransomware Locky

Le contenu du message était lié à des documents financiers et devait convaincre l’utilisateur d’ouvrir la pièce jointe.

Si l’attaque réussissait, Locky chiffrait sur l’ordinateur de l’utilisateur des fichiers portant certaines extensions (documents Office, contenu multimédia et certains autres), puis affichait un message contenant un lien vers un site hébergé dans le réseau Tor qui reprenait les exigences des individus malintentionnés. Nous avons consacré un billet de notre blog à une analyse détaillée de son schéma de fonctionnement.

Comme Locky ne figure pas souvent directement dans le message, il est difficile d’estimer sa part parmi les autres malwares dans le courrier. Toutefois, les scripts spéciaux qui téléchargent et exécutent Locky (détectés comme Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent, HEUR:Trojan-Downloader.Script.Generic) ont représenté plus de 50 % de l’ensemble des programmes malveillants dans le courrier.

Spam terroriste

Le terrorisme figure de nos jours parmi les principaux sujets traités par la presse et abordés dans les réunions entre leaders politiques. L’augmentation du nombre d’attentats en Europe et en Asie constitue la menace principale pour la communauté internationale et les individus malintentionnés exploitent activement le sujet du terrorisme pour tromper les utilisateurs inquiets.

De nombreux pays ont renforcé dans l’urgence les mesures de sécurité pour déjouer les attentats et les diffuseurs de programmes malveillants via spam ont exploité la situation. Ainsi, des messages tentaient de convaincre les destinataires que la pièce jointe contenait un fichier avec des informations qui permettraient à n’importe quel utilisateur de smartphone de détecter une bombe avant son explosion. Ce message souligne que cette technologie, simple et accessible, a été découverte par le ministère de la Défense des Etats-Unis La pièce jointe qui se présentait sous la forme d’un fichier EXE était détectée sous Trojan-Dropper.Win32.Dapato, un trojan utilisé pour voler des données personnelles, organiser des attaques DDoS et installer d’autres malwares, etc.

spam_report_q1_2016_fr_7

Les auteurs d’arnaque nigériane ne sont pas restés les bras croisés et ils ont exploité le sujet du terrorisme pour créer des histoires relativement vraisemblables. Les auteurs des messages se faisaient passer pour des membres d’une division inexistante du FBI chargée d’enquêter sur le terrorisme et la criminalité financière. Le thème des histoires inventées peut se résumer à ceci : l’utilisateur n’a pas encore pu recevoir une importante somme d’argent qui lui revient et pour pouvoir résoudre le problème, il faut contacter l’expéditeur du message. Pour expliquer les retards dans le transfert de l’argent, les auteurs de l’arnaque évoquaient, par exemple, l’absence de confirmation de la légitimité de l’argent et de son appartenance au destinataire, ainsi que des actions de tierces personnes désireuses d’obtenir illégalement l’argent du destinataire.

spam_report_q1_2016_fr_8

De même, différents messages d’escroquerie nigériane indiquaient que l’argent, dont une partie était promise au destinataire, était d’origine légale et n’avait rien à voir avec le trafic de drogues, le terrorisme ou n’importe quelle autre activité criminelle. Les escrocs tentaient ainsi d’ôter les doutes éventuels sur leur honnêteté qui auraient pu surgir chez l’utilisateur et de les convaincre d’entamer une correspondance.

spam_report_q1_2016_fr_9

Les escrocs ont exploité le sujet du terrorisme dans d’autres histoires liées directement à la situation au Proche-Orient. Ainsi, certains messages étaient envoyés au nom de soldats de l’armée américaine qui combattent les terroristes en Afghanistan et qui recherchent un intermédiaire pour conserver et investir de l’argent. Dans un autre message, l’auteur indique qu’il est musulman, mais qu’il n’appartient ni à Daesh, ni à aucune autre organisation terroriste. Il souhaite simplement réaliser une bonne action en versant une partie de l’importante somme d’argent dont il dispose. Ce musulman ne fait pas confiance aux organisations caritatives et pour cette raison, il souhaite transmettre la somme en question au destinataire du message. Une autre histoire implique un homme d’affaires américain qui, à cause de la guerre en Syrie et en Irak, a perdu la moitié de ses investissements. Il recherche un partenaire pour l’aider à investir l’argent qui lui reste.

Courrier indésirable et phishing au premier trimestre 2016

Les messages d’escroquerie nigériane en rapport avec la situation tendue en Syrie sont toujours populaires auprès des escrocs qui veulent tromper le public.

Courrier indésirable et phishing au premier trimestre 2016

Nous avons également vu des spams publicitaires d’usines chinoises qui proposaient des appareils de sécurité, notamment des scanners anti-explosifs et d’autres produits pour lutter contre le terrorisme.

Courrier indésirable et phishing au premier trimestre 2016

Autre tendance : augmentation sensible des spams d’escroquerie nigériane

Il semblerait que la crise économique n’a pas épargné les auteurs d’escroquerie nigériane car ils ont fait preuve d’une activité élevée ces derniers temps. D’après nos observations, le nombre de messages d’escroquerie de ce type a sensiblement augmenté au trimestre dernier. Alors que par le passé, les escrocs tentaient de convaincre la victime de répondre au messages à l’aide d’une histoire longue, convaincante et détaillée qui incluait des liens vers des articles sur des sites d’informations connus, ils se contentent désormais d’un message bref sans aucun détail dans lequel ils invitent simplement la victime à les contacter. Parfois, le message peut faire référence à une importante somme d’argent, qui sera évoquée dans la suite de la correspondance, mais ici aussi sans aucun détails sur la manière dont elle a été obtenue ni à qui elle appartenait.

Courrier indésirable et phishing au premier trimestre 2016

Il est possible que les escrocs comptent ainsi pouvoir attirer les utilisateurs qui connaissent déjà le format classique des escroqueries nigériane. Une autre explication serait que ces messages brefs sont destinés à des personnes occupées qui n’ont pas de temps à perdre dans la lecture de longs messages envoyés par des inconnus.

Méthodes et astuces : services de raccourcissement de liens et obfuscation

Dans notre rapport consacré à l’année 2015, nous avions évoqué l’obfuscation des domaines dans le spam. Au 1er trimestre 2016, cette tendance s’est maintenue et s’est même enrichie de nouvelles astuces.

Les individus malintentionnés utilisent toujours les services de raccourcissement de liens, mais par contre, ils ont changé de méthode d’obfuscation.

Tout d’abord, les spammeurs ont commencé à insérer des caractères entre le domaine du service de raccourcissement de liens et le lien final (barres obliques, lettres, points).

spam_report_q1_2016_fr_14

De plus, l’obfuscation porte sur le lien sur lequel l’utilisateur va cliquer et sur le lien de l’image chargée dans le message :

spam_report_q1_2016_fr_15

Outre les lettres et les points, les spammeurs ont placé entre les barres obliques des balises de commentaire aléatoires et les liens sont toujours interprétés correctement par le navigateur :

Courrier indésirable et phishing au premier trimestre 2016

spam_report_q1_2016_fr_17

Vous remarquerez que le nom « Edward » apparaît dans l’objet du message. Il figure également dans la balise de brouillage. Le nom est extrait d’une base de données et la balise de brouillage est unique pour chaque message de la diffusion.

L’obfuscation et les services de raccourcissement de liens ont également été utilisés dans le spam russophone, mais selon un algorithme différent.

spam_report_q1_2016_fr_18

En effet, les liens étaient brouillés à l’aide du caractère @. Pour rappel, l’utilisation de @ avant le domaine peut servir à identifier un utilisateur dans un domaine (cette pratique n’est plus utilisée). Pour les sites qui ne requièrent pas d’authentification, tout ce qui précède le caractère @ sera ignoré par le navigateur. Autrement dit, dans le message repris ci-dessus, le navigateur ouvre d’abord le site ask.ru/go sur lequel la requête secondaire « url= » est exécutée, puis passe à l’adresse Internet suivante indiquée qui appartient au service de raccourcissement de liens.

spam_report_q1_2016_fr_19

Le lien dans ce message était également brouillé par le caractère @. De plus, il était parfois brouillé à l’aide de requêtes secondaires qui reprenaient l’adresse email de l’utilisateur afin de rendre le lien unique pour chaque message de la diffusion.

Statistiques

Part du courrier indésirable dans le trafic de messagerie

spam_report_q1_2016_fr_20

Part du courrier indésirable dans le trafic de messagerie mondial au premier trimestre 2016

La part du courrier indésirable dans le trafic de messagerie n’a pratiquement pas évolué au cours des derniers mois de l’année 2015. Mais en janvier 2016, nous avons enregistré une hausse sensible de la part des messages non sollicités : plus de 5 points de pourcentage. Dès le mois de février, le niveau de courrier indésirable avait retrouvé ses valeurs antérieures, avant de repartir à la hausse en mars, mais de manière plus discrète. Au 1er trimestre 2016, la part des messages non sollicités a représenté en moyenne près de 56,92 % du volume du courrier mondial.

Pays, source du courrier indésirable

spam_report_q1_2016_fr_21

Pays, source de courrier indésirable, 1er trimestre 2016

Les Etats-Unis, qui avaient occupé la 1re position en 2015 au niveau du volume de courrier indésirable envoyé depuis ce pays, a conservé sa position de leader au 1er trimestre 2016. La part des Etats-Unis a atteint 12,43 %. Ils sont suivis, loin derrière, par le Vietnam (10,30 %) et l’Inde (6,19 %). Le Brésil occupe la 4e position (5,48 %) tandis que la Chine referme ce Top 5 avec 5,09 %.

A l’issue de l’année 2015, la Russie occupait la 2e position. Au 1er trimestre 2016, elle a chuté en 7e position (4,89 %). Elle est passée tout près de la 6e position, occupée par la France avec 4,9 %.

Taille des messages non sollicités

Courrier indésirable et phishing au premier trimestre 2016

Tailles des messages non sollicités, T4 2015 et T1 2016

Comme toujours, les messages les plus souvent diffusés au 1er trimestre 2016 ont été les messages atteignant 2 Ko maximum (81,86 %). Ils progressent de 2,7 points de pourcentage. La part des messages compris entre 20 et 50 Ko a également progressé. Elle passe de 3,02 à 7,67 %. De leur côté, les messages compris entre 2 et 5 Ko reculent fortement par rapport au trimestre antérieur et passent de 8,91 à 2,5 %.

Pièces jointes malveillantes dans le courrier

A l’heure actuelle, la majorité des malwares est détectée proactivement à l’aide d’outils automatiques, ce qui complique sérieusement la collecte de statistiques sur des modifications particulières de malwares. C’est la raison pour laquelle nous avons décidé d’opter pour des statistiques plus informatives sur le Top 10 des familles malveillantes.

Top 10 des familles malveillantes

  1. Trojan-Downloader.JS.Agent.
  2. Le représentant typique de cette famille est le script Java qui s’obfusque lui-même. Les malwares exploitent la technologie ADODB.Stream qui leur permet de télécharger et d’exécuter des fichiers DLL, EXE et PDF.

  3. Trojan-Downloader.VBS.Agent.
  4. Famille de scripts VBS. A l’instar de la famille JS.Agent, qui occupe la 1re position, ces malwares exploitent la technologie ADODB.Stream, mais téléchargent principalement des archives ZIP, en extraient le contenu et exécutent un autre malware.

  5. Trojan-Downloader.MSWord.Agent.
  6. Le représentant de cette famille est le fichier DOC avec une macro programmée selon Visual Basic for Applications (VBA). La macro s’exécute à l’ouverture du document : elle télécharge un fichier malveillant depuis le site des individus malintentionnés et l’exécute sur l’ordinateur de la victime.

  7. Backdoor.Win32.Androm. Andromeda.
  8. Famille des bots modulaires universels Andromeda – Gamarue. Ces bots sont dotés des fonctionnalités suivantes : le téléchargement, l’enregistrement et le lancement d’un fichier exécutable malveillant, le téléchargement et le chargement d’une DLL malveillante (sans l’enregistrer sur le disque), la mise à jour et la suppression automatiques. Les fonctionnalités du bot sont enrichies à l’aide de plug-ins que les individus malintentionnés chargent quand ils le souhaitent.

  9. Trojan.Win32.Bayrob.
  10. Les malwares de cette famille de trojans peuvent télécharger des modules complémentaires depuis le serveur de commande et les exécuter. Ils fonctionnent également en tant que serveur proxy. Ils interviennent dans la diffusion de spam et le vol de données personnelles.

  11. Trojan-Downloader.JS.Cryptoload.
  12. Le représentant typique de cette famille n’est rien d’autre qu’un script Java obfusqué. Les malwares de cette famille téléchargent et exécutent un ransomware sur l’ordinateur de la victime.

  13. Trojan-PSW.Win32.Fareit.
  14. L’objectif principal des malwares de cette famille est le vol de données, par exemple les comptes de clients FTP sur l’ordinateur infecté, les informations d’identification d’applications d’accès aux stockages dans le cloud, les cookies des navigateurs, les mots de passe des clients de messagerie. Les trojans de la famille Fareit envoient les données récoltées au serveur des individus malintentionnés. Certains membres de cette famille sont capables de télécharger et d’exécuter d’autres malwares.

  15. Trojan.Win32.Agent.
  16. Les malwares de cette famille éliminent, bloquent, modifient ou copient des données. Ils perturbent également le fonctionnement des ordinateurs ou des réseaux.

  17. Trojan-Downloader.Win32.Upatre.
  18. La taille des trojans de cette famille ne dépasse pas 3,5 Ko et leur fonction se limite au téléchargement d’une « charge utile » sur l’ordinateur infecté. Le plus souvent, il s’agit de trojans bancaires de la famille Dyre/Dyzap/Dyreza. La tâche principale des trojans bancaires de cette famille est le vol des données de paiement de l’utilisateur.

  19. Trojan-Spy.HTML.Fraud.
  20. Famille de trojans qui se présentent sous la forme de fausses pages HTML. Le malware se propage par courrier sous la forme d’une notification importante d’une grande banque, d’un magasin en ligne, d’un éditeur de logiciels, etc. L’utilisateur est invité à saisir des données confidentielles sur la fausse page HTML proposée, ce qui se traduit par l’envoi de ces données aux cybercriminels.

Pays, cibles des diffusions de malwares

Le classement des pays sur le territoire desquels le plus gros volume de spam malveillant est diffusé a été chamboulé.

Courrier indésirable et phishing au premier trimestre 2016

Répartition des déclenchements de l’antivirus protégeant les e-mails par pays au 1er trimestre 2016

La 1re place, comme pour 2015, revient à l’Allemagne (18,93 %). La Chine crée la surprise en 2e position avec 9,43 %. Elle était en 14e position à l’issue de l’année 2015. Le Brésil complète le trio de tête avec 7,35 %.

L’Italie occupe la 4e position (6,65 %) tandis que la 5e position du classement revient à la Grande-Bretagne (4,81 %). A l’issue du trimestre, la Russie se retrouve en 6e position avec 4,47 %.

Les Etats-Unis (3,95 %) qui ont figuré dans le Top 5 des pays cibles des diffusions de malwares par spam pendant de nombreux mois n’apparaissent qu’en 8e position.

Phishing

Au 1er trimestre 2016, le système Anti-Phishing s’est déclenché 34 983 315 fois sur les ordinateurs des utilisateurs de produits de Kaspersky Lab.

Répartition géographique des attaques

Le leader du classement sur la base de la part d’utilisateurs attaqués au sein du pays est à nouveau le Brésil (21,5 %), après une progression de 3,73 points de pourcentage. Le pourcentage d’utilisateurs attaqués en Chine (16,7 %) et en Grande-Bretagne (14,6 %) a également progressé par rapport au trimestre dernier, de 4,4 et 3,68 points de pourcentage. respectivement. S’agissant du Japon (13,8 %), leader l’année dernière du classement sur la base du pourcentage d’utilisateurs attaqués, sa part a reculé de 3,18 points de pourcentage.

spam_report_q1_2016_fr_24

Géographie des attaques de phishing*, 1er trimestre 2016

*Pourcentage d’utilisateurs sur les ordinateurs desquels l’Anti-Phishing s’est déclenché, par rapport à l’ensemble des utilisateurs de produits de Kaspersky Lab dans le pays.

Top 10 des pays selon la part d’utilisateurs attaqués

Brésil 21,5%
Chine 16,7%
Royaume-Uni 14,6%
Japon 13,8%
Inde 13,1%
Australie 12,9%
Bangladesh 12,4%
Canada 12,4%
Équateur 12,2%
Irlande 12,0%

Organisations victimes du phishing

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements du module heuristique du système Anti-Phishing sur les ordinateurs des utilisateurs. Ce module détecte toutes les pages qui possèdent du contenu de phishing et auxquelles l’utilisateur a tenté d’accéder via des liens dans des messages ou sur Internet, alors que ces liens ne figurent pas encore dans les bases de Kaspersky Lab. Et peu importe la manière dont la victime arrive sur la page : clic sur un lien dans un message de phishing, dans un message de réseau social ou encore, suite à l’action d’un programme malveillant. Après le déclenchement du module, un message relatif à la menace potentielle s’affiche dans le navigateur.

Courrier indésirable et phishing au premier trimestre 2016

Répartition des organisations victimes d’attaque de phishing, par catégorie premier trimestre 2016

Au 1er trimestre 2016, nous retrouvons à nouveau la catégorie « Portails Internet globaux » en tête du classement (28,69 %) suite à une progression de 0,39 point de pourcentage. La 2e et la 3e position reviennent à des catégories financières. « Banque » (+4,81 points de pourcentage.) et « Systèmes de paiement » (-0,33 point de pourcentage), respectivement. Les catégories « Réseaupoints de pourcentage sociaux » (11,84 %) et « Magasins en ligne » (8,40 %), qui ont perdu respectivement 0,33 et 4,06 points de pourcentage, referment le Top 5.

Magasins en ligne

Les attaques contre les clients des magasins en ligne sont intéressantes car elles permettent d’obtenir les données de cartes bancaires et d’autres données personnelles.

Courrier indésirable et phishing au premier trimestre 2016

Répartition des magasins en ligne, cibles d’attaques de phishing, au 1er trimestre 2016

L’Apple Store est le magasin en ligne le plus ciblé par les auteurs d’attaques de phishing. Au 1er trimestre 2016, sa part dans la catégorie « Magasins en ligne » a atteint 27,82 %. Il précède avec une bonne longueur d’avance un autre magasin en ligne très fréquenté : Amazon (21,6 %).

Courrier indésirable et phishing au premier trimestre 2016

Exemple de page de phishing visant à voler l’Apple ID et les données de la carte bancaire de la victime.

Le service de jeux Steam (13,23 %), axé sur la diffusion de jeux et de programmes referme le trio de tête. Il occupe la 19e position dans le classement global des organisations attaquées.

Les liens vers les pages de phishing consacrées aux jeux en ligne et aux services associés sont propagés via des bannières et des messages dans les réseaux sociaux et les forums. Et quelques fois, par courrier.

Courrier indésirable et phishing au premier trimestre 2016

Signalons que l’intérêt des criminels pour Steam et autres services de jeux augmente. L’argent et les données personnelles des adeptes des jeux en ligne deviennent un objectif non seulement pour les auteurs d’attaques de phishing, mais également pour les développeurs de malwares.

Top 3 des organisations ciblées par les auteurs d’attaques de phishing

La majeure partie du phishing non ciblé touche les utilisateurs de plusieurs sociétés très connues. Ces sociétés comptent de nombreux clients à travers le monde, ce qui signifie que les escrocs ont plus de chance d’atteindre leur but en organisant une attaque de phishing.

Le Top 3 des organisations victimes d’attaques de phishing au 1er trimestre 2016 rassemble 21,71 % de l’ensemble des liens de phishing détectés.

Organisation % de liens de phishing
1 Yahoo! 8,51
2 Microsoft 7,49
3 Facebook 5,71

Par rapport au 4e trimestre 2015, la composition du Trio de tête a changé. Yahoo! occupe à nouveau la 1re position (+1,45 points de pourcentage.), suivi en 2e position par Microsoft (+2,47 points de pourcentage). Facebook referme le trio de tête (-2,02 points de pourcentage.).

Signalons que le phishing sur Facebook existe pratiquement dans toutes les langues.

Courrier indésirable et phishing au premier trimestre 2016

Courrier indésirable et phishing au premier trimestre 2016

De même Facebook est très apprécié des cybercriminels pour diffuser le contenu malveillant. Nous avons présenté en détails un de ces plans dans notre blog.

Conclusion

Au 1er trimestre 2016, la part de spam dans le trafic de messagerie a augmenté de 2,7 poucents par rapport au trimestre précédent. Il est toutefois encore trop tôt pour parler d’une tendance à la hausse. Le fait est qu’au début de chaque année, la part de spam augmente sensiblement vu que le volume de messages normaux envoyés durant les fêtes de fin d’année diminue sensiblement.

Les Etats-Unis conservent leur position de leader parmi les pays, source de spam. Le Vietnam, l’Inde, le Brésil et la Chine entrent dans le Top 5. Il s’agit de pays qui connaissent un développement rapide et où l’infrastructure Internet est bonne.

Les messages de spam sont de plus en plus courts. Au 1er trimestre, les messages d’une taille maximale de 2 Ko ont représenté 80 % de l’ensemble du spam.

Au 1er trimestre 2016, le volume de spam contenant des pièces jointes malveillantes a sensiblement augmenté. La part de pièces jointes malveillantes dans le courrier a atteint son niveau maximum en mars, soit le quadruple de l’indice mensuel moyen de l’année dernière. Cette hausse est liée en particulier à la popularité des ransomwares qui sont soit joints aux messages, soit téléchargés sur l’ordinateur des victimes via des trojans downloader.

Cette augmentation confirme nos prévisions de longue date sur la conversion criminelle du spam, l’augmentation du danger qu’il représente et sa réduction dans la part du courrier. La multitude des langues utilisées, l’ingénierie sociale, la richesse des types de pièces jointes, des textes qui changent complètement au sein d’une même diffusion confèrent au spam un nouveau degré de menace. De plus, ces diffusions malveillantes touchent de larges régions géographiques. La diffusion des malwares par courrier a fortement changé cette année. Ainsi, la Chine figure en 2e position parmi les pays victimes.

L’autre confirmation de la criminalisation du spam nous est fournie par l’augmentation du spam d’escroquerie (escroquerie nigériane) observée au 1er trimestre 2016.

Il est peu probable que le volume de spam malveillant continue d’augmenter de la sorte : plus le spam malveillant se répand, plus son caractère dangereux est connu et les utilisateurs n’ouvrent plus les pièces jointes. Pour cette raison, ces attaques vont diminuer au cours des prochains mois. Mais elles pourraient être remplacées par d’autres attaques, encore plus complexes.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *