Kaspersky Monthly Malware Statistics Draft April12 FR

Statistiques mensuelles sur les programmes malveillants : avril 2012
Avril en chiffres
Les statistiques suivantes ont été recueillies au mois d'avril sur des ordinateurs dotés des applications de
Kaspersky Lab :



280 millions de programmes malveillants ont été détectés et neutralisés ;
134 millions (48 % de l'ensemble des menaces) d'infections via Internet ont été empêchées ;
Plus de 24 millions d'URL malveillantes ont été détectées.
Cybermenaces et sujets d'actualité :
Mac OS X : exploitation en masse et menace persistante avancée
L'activité anormalement élevée que nous avions observée au mois de mars parmi les programmes
malveillants pour Mac OS X n'était que la pointe de l'iceberg. Deux événements en avril ont changé à tout
jamais notre vision de la sécurité pour Mac OS X : un événement axé sur l'exploitation en masse et un
autre qui a utilisé Mac OS X dans le cadre d'une menace persistante avancée.
Flashfake
Commençons par le réseau de zombies Flashfake, connu également sous le nom de Flashback. La
première découverte d'un membre de la famille de programmes malveillants Flashfake remonte à 2011
sous le nom Trojan-Downloader.OSX.Flashfake. Il était diffusé sous la forme d'une fausse mise à jour de
Flash Player, ce qui a donné son nom au programme malveillant. De septembre 2011 à février 2012,
Flashfake était diffusé uniquement à l'aide de techniques d'ingénierie sociale : les visiteurs sur divers
sites étaient invités à télécharger une fausse mise à jour d'Adobe Flash Player.
Dans le cadre du rapport du mois de mars sur les programmes malveillants, nous avons remarqué que
des centaines de milliers de blogs WordPress compromis étaient utilisés en tant que nouveau canal de
distribution pour ce programme malveillant. Le problème devenait tout à coup plus sérieux car le
programme malveillant Flashfake infectait les ordinateurs des victimes à l'aide de codes d'exploitation,
créant ainsi le réseau de zombies Flashfake qui comptait plus de 750 000 ordinateurs sous Mac OS X.
Les cybercriminels qui diffusaient Flashfake avaient pu diffuser le programme malveillant via WordPress
en recrutant le trafic des blogs WordPress à l'aide d'un partenariat proposé par le groupe de
cybercriminels rr.nu. Près de 85 % des blogs compromis se trouvaient aux Etats-Unis et l'utilisation du
trafic WordPress permet au groupe derrière Flashfake de rediriger les visiteurs des pages WordPress
vers des sites compromis sous le contrôle des auteurs de l'attaque. Une fois que la victime se retrouvait
sur le site compromis, trois codes d'exploitation différents tentaient d'infecter l'ordinateur : CVE 20113544, CVE 2008-5353 et CVE 2012-0507 ou le site tentait d'amener l'utilisateur à télécharger et à
installer un fichier JAR possédant une fausse signature d'Apple. Si un des codes d'exploitation parvenait
à s'exécuter, l'ordinateur était infecté sans intervention complémentaire de l'utilisateur. Le fichier JAR
signé fonctionnait uniquement si l'utilisateur acceptait l'installation. Vous trouverez au lien suivant de plus
amples informations sur l'installation et le comportement de
Flashfake <https://www.securelist.com/en/analysis/204792227/The_anatomy_of_Flashfake_Part_1>.
Toutefois, le succès de cette campagne n'avait pas reposé uniquement sur la nouvelle méthode de
diffusion, mais sur les codes d'exploitation utilisés. Il est intéressant de voir que chacun d'entre eux visait
Java, dont les correctifs de sécurité pour Mac OS X sont mis en œuvre et distribué par Apple et non
directement par Oracle, ce qui avait entraîné des retards dans la mise à disposition de ces correctifs aux
utilisateurs de Mac OS X. Ainsi, la vulnérabilité CVE 2012-0507 avait été éliminée par Oracle pour toutes
les plateformes le 14 février, mais ce n'est que le 3 avril qu'Apple a diffusé son propre correctif, laissant
les utilisateurs de Mac OS X exposés à la menace pendant une plus grande période. Par défaut, Java
n'est pas installé sur Lion, mais n'importe quel utilisateur peut décider de l'installer. Enfin, le correctif
diffusé par Apple n'était disponible que pour Lion et Snow Leopard.
En conséquence de cela, plus de 700 000 utilisateurs ont été infectés par Flashfake, dont 58 % aux
Etats-Unis. Kaspersky a mis en place un site de vérification, Flashbackcheck.com, qui permettait aux
utilisateurs de vérifier si leur ordinateur était infecté et de télécharger, le cas échéant, un logiciel gratuit
suppression du programme malveillant.
1.
2.
3.
4.
L'anatomie de Flashfake. 1re partie
Existence confirmée du réseau de zombies Flashfake pour Mac OS X
Outil de suppression de Flashfake et site de vérification en ligne
Exploitation en masse de Mac OS X : pourquoi maintenant ?
SabPub: nouvelle menace persistante avancée (APT)
Au mois d'avril, une menace persistante avancée active baptisée SabPub a été identifiée. Elle utilise
deux type de chevaux de Troie de porte dérobée pour infecter les ordinateurs des victimes. Le premier
cheval de Troie utilisait un code d'exploitation de Microsoft Word pour s'introduire dans le système et sa
création remonte à février 2012. La deuxième version de SabPub, créée en mars 2012, attaquait la
plateforme Mac OS X via une vulnérabilité Java. Une fois que le cheval de Troie de type porte dérobée
personnalisé avait infecté l'ordinateur de la victime, il était en mesure de prendre des captures d'écran de
la session en cours de l'utilisateur et d'exécuter des commandes sur l'ordinateur infecté. A ce jour, le
groupe à l'origine de SabPub vise toujours activement les ordinateurs des utilisateurs.
Nouvelles campagnes de courrier indésirable à l'aide du kit de codes d'exploitation BlackHole
Campagne active de messages non sollicités sur Twitter
Kaspersky Lab a détecté une nouvelle campagne continue de courrier indésirable sur Twitter qui a
compromis plus de 500 comptes. Cette campagne de messages non sollicités envoyait des liens aux
utilisateurs qui étaient redirigés vers des sites compromis hébergeant le kit de codes d'exploitation
BlackHole. Ces sites installaient des rogues sur les ordinateurs des victimes sous la forme de fausses
alertes de virus qui invitaient l'utilisateur à réaliser une analyse antivirus. Les clients de Kaspersky Lab
ont bénéficié d'une protection dès le début de campagne impliquant les menaces : TrojanFakeAV.Win32.Agent.dqs et Trojan-FakeAV.Win32.Romeo.dv.
Messages de phishing d'US Airways
Au début du mois d'avril, Kaspersky Lab a signalé une campagne de phishing par e-mails qui avait
débutée en mars et se s présentait sous la forme de faux messages d'US Airways. Les cybercriminels
envoyaient ces messages de phishing dans le but de pousser les destinataires à cliquer sur des liens
dans les messages qui proposaient les "détails de la réservation en ligne, dont les options
d'enregistrement pour le vol. L'utilisateur qui cliquait sur un de ces liens était conduit vers un faux site
Web contenant le kit de codes d'exploitation BlackHole, dont une forme complexe du programme
malveillant Zeus (GameOver). Ce programme malveillant qui vise les banques s'installe lui-même sur
l'ordinateur de la victime et vole les informations d'authentification sur le site de la banque. Ces
messages non sollicités ont été envoyés en masse et les cybercriminels ont fait le pari qu'au moins
certains destinataires auraient réservé des vols chez US Airways (ce qui augmentait les probabilités de
cliquer sur les liens).
Programmes malveillants pour appareil mobile
Attaque contre les utilisateurs d'Android au Japon
Pour l'instant, la grande majorité des programmes malveillants pour Android est propre à certaines
régions et les cybercriminels de différents pays créent divers types de programmes malveillants pour les
utilisateurs dans certains pays. Autrement dit, la probabilité que l'appareil d'un utilisateur d'Android en
Russie soit infecté par un programme malveillant chinois est très faible. Toutefois, cela ne signifie pas
que le nombre d'infections, et l'argent gagné de la sorte, n'est pas en augmentation.
Le Japon ne constitue pas une exception dans la tradition des programmes malveillants pour appareil
mobile propres à une région. Nous observons même une accélération de cette activité dans ce pays. Un
nouveau type de programme malveillant pour Android a été détecté au début du mois d'avril. Il avait été
développé par des auteurs de virus pour appareils mobiles japonais et visait les appareils Android au
Japon. Ce programme malveillant est détecté par Kaspersky Lab sous le nom
Trojan.AndroidOS.FakeTimer.
Malheureusement, près de 30 applications malveillantes différentes sont disponibles sur Google Play et
près de 70 000 utilisateurs les ont téléchargées. Ce programme malveillant en question est capable
d'établir une connexion à un serveur distant. Si la connexion réussit, il télécharge un fichier vidéo au
format MP4. Il est capable également de voler des informations sensibles sur un appareil infecté dont les
noms, les adresses de messagerie et les numéros de téléphones des contacts de la victime. Le
programme malveillant charge ensuite les données volées sur un serveur distant.
TigerBot, un autre bot SMS
Les programmes malveillants pour appareils mobiles commandés par SMS sont de plus en plus
populaires. Une nouvelle porte dérobée baptisée TigerBot a été détectée en avril. Ce programme
malveillant ce masque après l'infection et n'affiche aucun signe de présence sur l'écran d'accueil de
l'appareil. Si la victime vérifie la liste des processus en cours d'exécution sur l'appareil, elle ne sera pas
non plus en mesure d'identifier le nom du processus de TigerBot, comme "Système". Le programme
malveillant enregistre un destinataire baptisé “android.provider.Telephony.SMS_RECEIVED” afin de
pourvoir lire tous les SMS entrants et de voir s'ils contiennent des commandes spéciales.
Différentes commandes peuvent entraîner l'enregistrement des appels, le vol des données de
géolocalisation, l'envoi de SMS ou la modification de la configuration du réseau. Toutes ces
fonctionnalités peuvent entraîner une sérieuse fuite d'informations. Le programme malveillant peut
également redémarrer les téléphones infectés, bien que cela risque ne de pas se produire trop souvent
car l'utilisateur pourrait se rendre compte qu'il y a un problème au niveau de l'appareil.
Heureusement, rien n'indique que TigerBot a été (ou est) disponible sur Google Play, mais il faut toujours
être prudent au moment d'installer n'importe quelle application depuis n'importe quelle source.
Kaspersky Mobile Security détecte cette menace sous le nom Backdoor.AndroidOS.TigerBot.
Classements du mois d'avril
*Ces statistiques représentent les verdicts détectés par les modules antivirus et ont été fournies par les
utilisateurs des logiciels de Kaspersky Lab qui ont accepté de partager leurs données locales.
Menaces sur Internet
Carte des risques d'infection pendant la navigation sur Internet
Top 10 des domaines malveillants
Source d'attaques Internet par domaine*
*Nombre d'attaques via des ressources Internet en fonction du domaine détecté par le composant
Antivirus Internet.
Top 10 des pays dont les ressources hébergeaient des programmes malveillants
(Répartition mondiale des sites infectés et des hôtes malveillants)
Top 10 des menaces sur Internet
#
TOP 10 Antivirus Internet MARS
% de l'ensemble des
attaques*
Changement de
position
1
URL malveillante
87,6 %
0
2
Trojan.Script.Iframer
2,9 %
0
3
Trojan.Script.Generic
2,4 %
0
4
Trojan.JS.Popupper.aw
0,4 %
4
5
Trojan.Win32.Generic
0,3 %
-1
6
Trojan.JS.Agent.bxw
0,3 %
Nouveauté
7
Exploit.Script.Blocker
0,3 %
Nouveauté
8
TrojanDownloader.Win32.Generic
0,2 %
Nouveauté
Trojan-Downloader.Script.Generic
0,2 %
-4
Trojan.JS.Redirector.ux
0,2 %
Nouveauté
9
10
Codes d'exploitation détectés par le composant Antivirus Internet sur les ordinateurs des
utilisateurs par application ciblée
* Pourcentage de toutes les attaques via Internet de codes d'exploitation
Nombre de nouvelles définitions pour les menaces Mac OS X, mars-avril 2012
Les 20 pays où le risque d'infection par Internet est le plus élevé
#
1
2
Pays
%*
Fédération de Russie 50,0
Changement de position
-
Arménie
47,1
-
3
Bélarus
45,0
1
4
Kazakhstan
44,4
-1
5
Azerbaïdjan
42,9
-
6
Ouzbékistan
42,7
2
7
Soudan
41,7
-
8
Ukraine
40,3
-2
9
Ukraine
36,0
Nouveauté
10
Bangladesh
35,9
-
Les 10 pays où le risque d'infection par Internet est le moins élevé
#
Pays
%*
1
Burkina-Faso
6,8238
5
2
Mail
6,8483
Nouveauté
3
Bénin
7,8883
-1
4
Japon
8,1372
-1
5
Taiwan
9 577
-4
6
Luxembourg
10,2856
Nouveauté
7
Danemark
11,1927
4
8
9
Afrique du Sud 11,7979
Sénégal
11,9672
Changement de position
Nouveauté
Nouveauté
10 Côte d'Ivoire
11 979
Nouveauté
Pour les calculs, nous excluons les pays où le nombre d'utilisateurs de logiciels de Kaspersky Lab est relativement fiable (moins de 10 000)
*Le pourcentage d'utilisateurs uniques dans le pays dont les ordinateurs sont dotés d'applications de Kaspersky Lab qui ont bloqué des menaces en
ligne.