Statistiques mensuelles sur les programmes malveillants : avril 2012

Avril en chiffres

Les statistiques suivantes ont été recueillies au mois d’avril sur des ordinateurs dotés des applications de Kaspersky Lab :

  • 280 millions de programmes malveillants ont été détectés et neutralisés ;
  • 134 millions (48 % de l’ensemble des menaces) d’infections via Internet ont été empêchées ;
  • Plus de 24 millions d’URL malveillantes ont été détectées.

Cybermenaces et sujets d’actualité :

Mac OS X : exploitation en masse et menace persistante avancée

L’activité anormalement élevée que nous avions observée au mois de mars parmi les programmes malveillants pour Mac OS X n’était que la pointe de l’iceberg. Deux événements en avril ont changé à tout jamais notre vision de la sécurité pour Mac OS X : un événement axé sur l’exploitation en masse et un autre qui a utilisé Mac OS X dans le cadre d’une menace persistante avancée.

Flashfake

Commençons par le réseau de zombies Flashfake, connu également sous le nom de Flashback. La première découverte d’un membre de la famille de programmes malveillants Flashfake remonte à 2011 sous le nom Trojan-Downloader.OSX.Flashfake. Il était diffusé sous la forme d’une fausse mise à jour de Flash Player, ce qui a donné son nom au programme malveillant. De septembre 2011 à février 2012, Flashfake était diffusé uniquement à l’aide de techniques d’ingénierie sociale : les visiteurs sur divers sites étaient invités à télécharger une fausse mise à jour d’Adobe Flash Player.

Dans le cadre du rapport du mois de mars sur les programmes malveillants, nous avons remarqué que des centaines de milliers de blogs WordPress compromis étaient utilisés en tant que nouveau canal de distribution pour ce programme malveillant. Le problème devenait tout à coup plus sérieux car le programme malveillant Flashfake infectait les ordinateurs des victimes à l’aide de codes d’exploitation, créant ainsi le réseau de zombies Flashfake qui comptait plus de 750 000 ordinateurs sous Mac OS X.

Les cybercriminels qui diffusaient Flashfake avaient pu diffuser le programme malveillant via WordPress en recrutant le trafic des blogs WordPress à l’aide d’un partenariat proposé par le groupe de cybercriminels rr.nu. Près de 85 % des blogs compromis se trouvaient aux Etats-Unis et l’utilisation du trafic WordPress permet au groupe derrière Flashfake de rediriger les visiteurs des pages WordPress vers des sites compromis sous le contrôle des auteurs de l’attaque. Une fois que la victime se retrouvait sur le site compromis, trois codes d’exploitation différents tentaient d’infecter l’ordinateur : CVE 2011-3544, CVE 2008-5353 et CVE 2012-0507 ou le site tentait d’amener l’utilisateur à télécharger et à installer un fichier JAR possédant une fausse signature d’Apple. Si un des codes d’exploitation parvenait à s’exécuter, l’ordinateur était infecté sans intervention complémentaire de l’utilisateur. Le fichier JAR signé fonctionnait uniquement si l’utilisateur acceptait l’installation. Vous trouverez au lien suivant de plus amples informations sur l’installation et le comportement de Flashfake.

Toutefois, le succès de cette campagne n’avait pas reposé uniquement sur la nouvelle méthode de diffusion, mais sur les codes d’exploitation utilisés. Il est intéressant de voir que chacun d’entre eux visait Java, dont les correctifs de sécurité pour Mac OS X sont mis en œuvre et distribué par Apple et non directement par Oracle, ce qui avait entraîné des retards dans la mise à disposition de ces correctifs aux utilisateurs de Mac OS X. Ainsi, la vulnérabilité CVE 2012-0507 avait été éliminée par Oracle pour toutes les plateformes le 14 février, mais ce n’est que le 3 avril qu’Apple a diffusé son propre correctif, laissant les utilisateurs de Mac OS X exposés à la menace pendant une plus grande période. Par défaut, Java n’est pas installé sur Lion, mais n’importe quel utilisateur peut décider de l’installer. Enfin, le correctif diffusé par Apple n’était disponible que pour Lion et Snow Leopard.

En conséquence de cela, plus de 700 000 utilisateurs ont été infectés par Flashfake, dont 58 % aux Etats-Unis. Kaspersky a mis en place un site de vérification, Flashbackcheck.com, qui permettait aux utilisateurs de vérifier si leur ordinateur était infecté et de télécharger, le cas échéant, un logiciel gratuit suppression du programme malveillant.

  1. L’anatomie de Flashfake. 1re partie
  2. Existence confirmée du réseau de zombies Flashfake pour Mac OS X
  3. Outil de suppression de Flashfake et site de vérification en ligne
  4. Exploitation en masse de Mac OS X : pourquoi maintenant ?

SabPub: nouvelle menace persistante avancée (APT)

Au mois d’avril, une menace persistante avancée active baptisée SabPub a été identifiée. Elle utilise deux type de chevaux de Troie de porte dérobée pour infecter les ordinateurs des victimes. Le premier cheval de Troie utilisait un code d’exploitation de Microsoft Word pour s’introduire dans le système et sa création remonte à février 2012. La deuxième version de SabPub, créée en mars 2012, attaquait la plateforme Mac OS X via une vulnérabilité Java. Une fois que le cheval de Troie de type porte dérobée personnalisé avait infecté l’ordinateur de la victime, il était en mesure de prendre des captures d’écran de la session en cours de l’utilisateur et d’exécuter des commandes sur l’ordinateur infecté. A ce jour, le groupe à l’origine de SabPub vise toujours activement les ordinateurs des utilisateurs.

Nouvelles campagnes de courrier indésirable à l’aide du kit de codes d’exploitation BlackHole

Campagne active de messages non sollicités sur Twitter

Kaspersky Lab a détecté une nouvelle campagne continue de courrier indésirable sur Twitter qui a compromis plus de 500 comptes. Cette campagne de messages non sollicités envoyait des liens aux utilisateurs qui étaient redirigés vers des sites compromis hébergeant le kit de codes d’exploitation BlackHole. Ces sites installaient des rogues sur les ordinateurs des victimes sous la forme de fausses alertes de virus qui invitaient l’utilisateur à réaliser une analyse antivirus. Les clients de Kaspersky Lab ont bénéficié d’une protection dès le début de campagne impliquant les menaces : Trojan-FakeAV.Win32.Agent.dqs et Trojan-FakeAV.Win32.Romeo.dv.

Messages de phishing d’US Airways

Au début du mois d’avril, Kaspersky Lab a signalé une campagne de phishing par e-mails qui avait débutée en mars et se s présentait sous la forme de faux messages d’US Airways. Les cybercriminels envoyaient ces messages de phishing dans le but de pousser les destinataires à cliquer sur des liens dans les messages qui proposaient les « détails de la réservation en ligne, dont les options d’enregistrement pour le vol. L’utilisateur qui cliquait sur un de ces liens était conduit vers un faux site Web contenant le kit de codes d’exploitation BlackHole, dont une forme complexe du programme malveillant Zeus (GameOver). Ce programme malveillant qui vise les banques s’installe lui-même sur l’ordinateur de la victime et vole les informations d’authentification sur le site de la banque. Ces messages non sollicités ont été envoyés en masse et les cybercriminels ont fait le pari qu’au moins certains destinataires auraient réservé des vols chez US Airways (ce qui augmentait les probabilités de cliquer sur les liens).

Programmes malveillants pour appareil mobile

Attaque contre les utilisateurs d’Android au Japon

Pour l’instant, la grande majorité des programmes malveillants pour Android est propre à certaines régions et les cybercriminels de différents pays créent divers types de programmes malveillants pour les utilisateurs dans certains pays. Autrement dit, la probabilité que l’appareil d’un utilisateur d’Android en Russie soit infecté par un programme malveillant chinois est très faible. Toutefois, cela ne signifie pas que le nombre d’infections, et l’argent gagné de la sorte, n’est pas en augmentation.

Le Japon ne constitue pas une exception dans la tradition des programmes malveillants pour appareil mobile propres à une région. Nous observons même une accélération de cette activité dans ce pays. Un nouveau type de programme malveillant pour Android a été détecté au début du mois d’avril. Il avait été développé par des auteurs de virus pour appareils mobiles japonais et visait les appareils Android au Japon. Ce programme malveillant est détecté par Kaspersky Lab sous le nom Trojan.AndroidOS.FakeTimer.

Malheureusement, près de 30 applications malveillantes différentes sont disponibles sur Google Play et près de 70 000 utilisateurs les ont téléchargées. Ce programme malveillant en question est capable d’établir une connexion à un serveur distant. Si la connexion réussit, il télécharge un fichier vidéo au format MP4. Il est capable également de voler des informations sensibles sur un appareil infecté dont les noms, les adresses de messagerie et les numéros de téléphones des contacts de la victime. Le programme malveillant charge ensuite les données volées sur un serveur distant.

TigerBot, un autre bot SMS

Les programmes malveillants pour appareils mobiles commandés par SMS sont de plus en plus populaires. Une nouvelle porte dérobée baptisée TigerBot a été détectée en avril. Ce programme malveillant ce masque après l’infection et n’affiche aucun signe de présence sur l’écran d’accueil de l’appareil. Si la victime vérifie la liste des processus en cours d’exécution sur l’appareil, elle ne sera pas non plus en mesure d’identifier le nom du processus de TigerBot, comme « Système ». Le programme malveillant enregistre un destinataire baptisé “android.provider.Telephony.SMS_RECEIVED” afin de pourvoir lire tous les SMS entrants et de voir s’ils contiennent des commandes spéciales.

Différentes commandes peuvent entraîner l’enregistrement des appels, le vol des données de géolocalisation, l’envoi de SMS ou la modification de la configuration du réseau. Toutes ces fonctionnalités peuvent entraîner une sérieuse fuite d’informations. Le programme malveillant peut également redémarrer les téléphones infectés, bien que cela risque ne de pas se produire trop souvent car l’utilisateur pourrait se rendre compte qu’il y a un problème au niveau de l’appareil.

Heureusement, rien n’indique que TigerBot a été (ou est) disponible sur Google Play, mais il faut toujours être prudent au moment d’installer n’importe quelle application depuis n’importe quelle source.

Kaspersky Mobile Security détecte cette menace sous le nom Backdoor.AndroidOS.TigerBot.

Classements du mois d’avril

*Ces statistiques représentent les verdicts détectés par les modules antivirus et ont été fournies par les utilisateurs des logiciels de Kaspersky Lab qui ont accepté de partager leurs données locales.

Menaces sur Internet


Carte des risques d’infection pendant la navigation sur Internet

Top 10 des menaces sur Internet

* Pourcentage de toutes les attaques via Internet de codes d’exploitation



Nombre de nouvelles définitions pour les menaces Mac OS X, mars-avril 2012

  Pays % * Changement de position 1 Fédération de Russie 50 – 2 Arménie 47,1 – 3 Bélarus 45 1 4 Kazakhstan 44,4 -1 5 Azerbaïdjan 42,9 – 6 Ouzbékistan 42,7 2 7 Soudan 41,7 – 8 Ukraine 40,3 -2 9 Ukraine 36 Nouveauté 10 Bangladesh 35,9 –

Les 10 pays où le risque d’infection par Internet est le moins élevé

  Pays % * Changement de position
1 Burkina-Faso 6,8238 5
2 Mail 6,8483 Nouveauté
3 Bénin 7,8883 -1
4 Japon 8,1372 -1
5 Taiwan 9,577 -4
6 Luxembourg 10,2856 Nouveauté
7 Danemark 11,1927 4
8 Afrique du Sud 11,7979 Nouveauté
9 Sénégal 11,9672 Nouveauté
10 Côte d’Ivoire 11,979 Nouveauté

Pour les calculs, nous excluons les pays où le nombre d’utilisateurs de logiciels de Kaspersky Lab est relativement fiable (moins de 10 000)
*Le pourcentage d’utilisateurs uniques dans le pays dont les ordinateurs sont dotés d’applications de Kaspersky Lab qui ont bloqué des menaces en ligne.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *