Angelina Jolie, Guest star de la diffusion d`un Malware

Le mercredi10 juillet 2008
Angelina Jolie, Guest star de la diffusion d’un Malware
Les Laboratoires BitDefender ont identifié une nouvelle vague de spam utilisant de faux évènements
concernant l’actrice Angelina Jolie dans le but de tromper les utilisateurs afin qu’ils téléchargent et
installent un Trojan sur leurs ordinateurs.
Cette nouvelle campagne de diffusion de malwares se propage principalement via des spams au sujet
d’une supposée vidéo pour adulte qui mettrait en scène la star de cinéma. Pour voir le film, les
utilisateurs doivent télécharger un fichier binaire, video-nude-angelina.avi.exe, qui est infecté par
Trojan.Agent.ACGZ.
Le message spam est composé d’une image explicite d’Angelina Jolie, accompagnée de textes
prétendant que le mail a été envoyé dans le cadre du programme des offres MSN. Par ce biais, le
message spam joue un double rôle en essayant, d’une part, de tromper l’utilisateur en lui faisant
penser que c’est un e-mail d’information légitime et d’autre part, en évitant que les filtres antispams
classent le mail comme un spam.
« Cette vague de spams appartient à une catégorie plus large d’e-mails non sollicités, qui reposent sur
des techniques de « social engineering » de façon à pousser les utilisateurs imprudents à installer des
trojans », déclare Vlad Valceanu, Directeur de la Recherche antispam BitDefender. « Ce type
d’attaque semble avoir beaucoup de succès comme le montre la progression importante dont ils sont
l’objet ces derniers mois. Afin d’atteindre leurs buts, les spammeurs s’appuient habituellement sur des
célébrités internationales et leurs photos, accompagnées de titres accrocheurs et cependant faux. »
Ce n’est pas le premier incident impliquant Angelina Jolie. D’autant plus que, l’actrice a récemment
donné naissance à 2 enfants, et les spammeurs ont tiré avantage de cet évènement pour infecter
encore plus d’ordinateurs. La campagne de spam qui a suivi l’évènement a annoncé qu’Angelina avait
donné naissance à pas moins de 5 enfants, et proposait même aux utilisateurs un lien vers un site
Web qui prétendait proposer une petite vidéo de l’évènement. L’annonce, combinée à la célébrité
d’Angelina Jolie, était destinée à tirer avantage de l’intérêt des utilisateurs pour les évènements
sensationnels.
Une fois sur la page, les utilisateurs pouvaient voir une image représentant un lecteur vidéo en flash.
Quand l’utilisateur arrivait sur la page web corrompue, le téléchargement démarrait immédiatement,
sans intervention de l’utilisateur (un procédé aussi appelé le « Drive by download »). Le fichier binaire
était infecté par le troyen : Trojan.Downloader.Exchanger.Gen.1, un bout de code malveillant qui a été
largement utilisé dans une autre campagne de spam qui mettait en avant un soi-disant utilitaire
antivirus, appelé Antivirus XP 2008.
Bien que l'approche soit relativement nouvelle, la technique sous-jacente a largement été utilisée par
le passé. Cette campagne vise surtout des utilisateurs qui ne sont pas trop au fait des questions de
sécurité– étant donné que ces derniers ne sont pas au courant de l’existence de scanners en ligne
gratuits mis à disposition par les principaux éditeurs de logiciels de sécurité.
Le message du spam dirige l'utilisateur vers une page web légitime dont la page d'index a été doublée
pour faciliter l'attaque. Par exemple, si la page d’accueil normale est index.php, l'URL dangereuse se
terminera par index1.php. Cette deuxième page d’index est présentée à la manière de Windows Vista
(fond d’écran Aero et icônes). L’aspect professionnel contribue grandement à inspirer confiance aux
utilisateurs, bien que quelques détails devraient alerter les visiteurs au sujet de l’escroquerie.
Par exemple, en haut à droite de l’écran, le spam affiche les virus les plus actifs durant le mois de mai
– ce qui signifie que la page n’a pas été mise à jour. Deuxièmement les autres éléments du texte sont
écrits en Anglais basique avec des explications ambigües (comme "les attaques de Trojan
endommagent plus de 3 million $ /heure.") Le message du spam lui-même est écrit avec une
grammaire pauvre, et de multiples zones pas très nettes visant à duper les filtres Antispam.
« Cette vague de spam utilise une vieille technique qui consiste à obscurcir certaine zone de texte de
façon importante, afin d’empêcher les filtres Antispam d’identifier le message et de le catégoriser en
tant que spam » a déclaré Vlad Valceanu. « Le message lui-même devrait pourtant être un
avertissement suffisant pour l'utilisateur pour qu’il comprenne que le logiciel n'est pas légitime et
provient d’une source suspecte. Indépendamment de cela, les utilisateurs devraient faire beaucoup
plus attention aux pages web qui tentent de télécharger automatiquement un fichier sur leurs
ordinateurs ».
Une fois installé sur l'ordinateur, le faux utilitaire antivirus installe discrètement d’autres fichiers à haut
risque comme des adwares, des spywares ou autres malwares à partir de multiples serveurs ou
sources issues d’Internet. De plus, une fois lancé, l’antivirus affichera différents messages répertoriant
de multiples fausses menaces de sécurité sur la machine. C'est une méthode habituelle pour les
fausses applications de sécurité pour induire en erreur les utilisateurs non-avertis et les faire payer une
version "complète" d'un faux logiciel.
À propos de BitDefender®
BitDefender est la société créatrice de l’une des gammes de solutions de sécurité la plus complète et la plus certifiée au
niveau international reconnues comme étant parmi les plus rapides et les plus efficaces du marché. Depuis sa création en
2001, BitDefender n’a cessé d’élever le niveau et d’établir de nouveaux standards en matière de protection proactive des
menaces. Chaque jour, BitDefender protège des dizaines de millions de particuliers et de professionnels à travers le monde –
en leur garantissant une utilisation sereine et sécurisée de l’univers informatique. Les solutions de sécurité BitDefender sont
distribuées dans plus de 100 pays via des partenaires revendeurs et distributeurs hautement qualifiés. Dans les pays
francophones, BitDefender est édité en exclusivité par Éditions Profil. Pour plus d’informations, visitez : www.bitdefender.fr
À propos des Editions Profil
Editions Profil, société indépendante créée en 1989, développe, édite et diffuse des logiciels sur différents secteurs
d’activités, professionnel et grand public. L’éditeur a constitué un large catalogue de solutions dans de nombreux
domaines, par exemple sur les segments de la bureautique et de la productivité. Editions Profil s’est plus particulièrement
spécialisée ces dernières années dans l'édition et la distribution d'outils de sécurité informatique et la protection des
données en général. Editions Profil édite notamment les solutions de sécurité BitDefender et Parental Filter, ainsi que les
solutions Farstone et diffuse les solutions de récupération de données et de gestion de serveurs MS Exchange de KrollOntrack.
Angelina Jolie Guest Stars in Malware Scheme
Wednesday, July 16, 2008
E-mail this to a friend
Print
Bookmark this Page
PDF
BUCHAREST, Romania – July 16, 2008 – BitDefender researchers have identified a new wave of spam
messages that use fake events related to actor Angelina Jolie in order to trick users into downloading and
installing Trojan malware onto their computers.
This new campaign of spreading malware is mostly carried via spam messages based around an alleged adult video
footage with the movie star. In order to watch the movie, users have to download binary file, video-nudeanjelina.avi.exe, which is infected with Trojan.Agent.AGGZ.
The spam message is comprised of an explicit image of Angelina Jolie, along with some text claiming that the mail has
been sent as part of the MSN Featured Offers program. The text message plays a double role by it trying to trick the
user into thinking that this is a legitimate news message and by preventing spam filters from labelling the entire mail
as spam message.
“The spam wave is part of a larger category of unsolicited mail messages that rely on social engineering techniques in
order to lure unwary users into installing Trojans,” said Vlad Valceanu, Head Of Antispam Research. “This type of
attack seems to be extremely successful, as the number of messages has quickly escalated over the last couple months.
In order to achieve their goals, spammers usually rely on international celebrities and their pictures, along with catchy,
yet fake news leads.”
This is not the only incident involving Angelina Jolie. Recently, the actor has given birth to two children, and
spammers took advantage of the event in order to infect more computers. The spam campaign following the event
wrongfully announced the fact that Jolie gave birth to no less than five children, and even offered users a link to a
website allegedly hosting a small video with the event. The announcement, combined with Angelina Jolie’s fame was
meant to take advantage of users’ hunger for sensational events.
Once on the respective page, users were shown an image impersonating a flash video player. When the user landed on
the compromised webpage, the download started immediately, without any user intervention (a procedure also refered
to as drive-by download). The binary file was infected with Trojan.Downloader.Exchanger.Gen.1, a piece of malware
that has been widely used in another spam campaign promoting an alleged antivirus utility, called Antivirus XP 2008.
Although the approach is relatively new, the underlying technique has been widely used in the past. This campaign
mostly targets computer users who are educated in computer security - as they are not aware about free online scanners
offered by major security providers.
The spam message directs the user to a legitimate webpage who’s index page has been doubled to facilitate the attack.
For instance, while the normal home page is index.php, the compromised URL would always end in index1.php. This
secondary index page is neatly crafted using the Windows Vista look-and-feel (the Aero wallpaper and icon buttons).
The professional look dramatically contributes to gaining users’ confidence, but there are a few details that should tip
off the visitor about the scam.
For instance, the virus top on the upper right side of the screen displays the most aggressive viruses that were active
during May - meaning the page has not been updated. Secondly, the other text elements are written in plain English,
with ambiguous explanations (such as ”Trojan attacks damage more than $3 million/hour.”) The spam message itself is
written using poor grammar, with multiple obfuscations to trick spam filters.
”This spam wave built on an older recipe, making heavy use of text obfuscation in order to prevent spam filters from
identifying and marking the message as junk,” said Vlad Valceanu. “The message itself should be enough of a warning
for the user that the advertised piece of software is not legitimate and might come from ’unorthodox’ sources. More
than that, users should pay extra attention to webpages that automatically try to download a file on the computer.”
Once installed on the computer, the rogue antivirus utility would stealthily start installing other high security risks such
as adware, spyware or other malware from multiple servers or sources on the internet. Also, when run, the antivirus
would display that it found multiple fake or false security threats on the host computer. This is a common tactic for
rogue security applications, as they try to mislead unaware computer users and make them pay for the “full” version of
a bogus utility.