Kaspersky Analysis Courrier indésirable en mars 2011
Transcription
Kaspersky Analysis Courrier indésirable en mars 2011
Courrier indésirable en mars 2011 Mars en chiffres Par rapport au mois de février, la part du courrier indésirable dans le trafic de messagerie a diminué de 0,9% pour atteindre en moyenne 79,6%. Par rapport au mois de février, la part de messages de phishing dans le trafic de messagerie a reculé de 0,01 % et représente 0,02%. Au mois de mars, 3,23% des messages électroniques contenaient des fichiers malveillants, soit 0,05% de plus que le mois passé. Survol des principaux événements du mois Beaucoup d'agitation autour de Rustock Au milieu du mois de mars, nous avons appris la désactivation de l'important réseau de zombies de courrier indésirable Rustock suite aux efforts conjoints de Microsoft et des autorités judiciaires des États-Unis. Cela faisait près de cinq ans que Rustock existait (depuis 2006) et, selon diverses estimations, il était responsable de 30 à 40 % de l'ensemble du courrier indésirable. La mise hors service du réseau de zombies fut annoncée le 17 mars. L'opération en elle-même s'était déroulée un jour plus tôt, le 16. Les experts de Kaspersky Lab ont remarqué une certaine réduction du courrier indésirable du 17 au 21 mars. Au cours de cette période, le pourcentage de courrier indésirable dans le trafic de messagerie a diminué de 3 % par rapport à la moyenne de la première quinzaine du mois de mars. S'agissant des messages non sollicités, leur nombre a reculé d'environ 15 %. Toutefois, dès le 22 mars, le volume du trafic de courrier indésirable était à nouveau en hausse. Il semblerait que malgré la dimension impressionnante et la puissance du réseau de zombies mis hors service, l'expérience acquise à la fin de l'année 2010 a permis aux diffuseurs de courrier indésirable et aux propriétaires de réseaux de zombie de très vite répartir leur puissance. Néanmoins, les actions des autorités judiciaires dans le cadre de la lutte contre le courrier indésirable continuent à donner des résultats et à réjouir tous ceux qui tentent de résoudre cette problématique. Événements mondiaux et courrier indésirable La tragédie japonaise n'a pas laissé les diffuseurs de courrier indésirables indifférents Le séisme dévastateur, le tsunami et la catastrophe dans la centrale nucléaire qui s'en est suivi ont capté l'attention du monde entier. Les citoyens de nombreux pays ont essayé de venir en aide aux Japonais à l'aide des moyens qui étaient à leur portée, qu'il s'agisse de denrées non périssables, de médicaments, d'articles de première nécessité ou de dons à diverses organisations humanitaires. Une multitude de sites présentant des informations sur la manière de transférer des fonds aux victimes ont fait leur apparition. Bien entendu, les diffuseurs de courrier indésirable ont tout de suite tenté d'adopter la thématique des initiatives humanitaires. Des messages d'escroquerie invitant le destinataire à verser de l'argent sur le prétendu compte de la Croix Rouge ou d'autres organisations humanitaires ont tout de suite fait leur apparition. Il va de soi que l'argent déposé par les destinataires qui se sont laissé prendre au piège n'a contribué au bien être de personne, si ce n'est des diffuseurs de courrier indésirable. L'actualité du Japon a été également très exploitée dans les messages non sollicités de diffusion de code malveillant. Comme toujours, la curiosité de l'être humain a joué à l'avantage des individus malintentionnés : les utilisateurs étaient invité à lire des détails choquants ou à regarder des vidéos en provenance de la zone sinistrée. Libye. Point chaud et sujet d'actualité La situation en Libye est également sur toutes les lèvres. Et les diffuseurs de courrier indésirable ont commencé à utiliser le thème du conflit armé dans des messages d'escroquerie. On retrouve de plus en plus souvent des escroqueries « nigériennes » dans le cadre desquels de prétendus membres du gouvernement Libyen tentent de transférer leurs millions hors des banques du pays en révolte ainsi que des messages qui, comme pour le Japon, proposent de faire un don aux victimes. Les diffuseurs de courrier indésirable qui propagent des programmes malveillants n'ont pas manqué eux aussi d'exploiter l'intérêt des internautes pour les événements dramatiques qui se déroulent en Libye. À l'aide de méthodes éprouvées, ils ont diffusé des messages contenant des liens malveillants vers de prétendues « dépêches » en provenance de Libye. Mais les messages les plus intéressants, de notre point de vue, sont les messages non sollicités à motivation politique concernant la situation en Libye qui ont fait leur apparition au mois de mars. Ces messages citent en général des publications issues de divers blogs ou des articles de journaux. Il s'agit de messages rédigés en anglais qui ne visent pas les Libyens. Ce genre de courrier indésirable tente d'attirer l'attention des étrangers, aux États-Unis ou en Europe, sur le conflit libyen et peut être diffusé aussi bien par des partisans du régime que par des opposants à celui-ci. Survol statistique Part du courrier indésirable dans le trafic de messagerie Par rapport au mois de février, la part du courrier indésirable dans le trafic de messagerie a diminué de 0,9% pour atteindre en moyenne 79,6%. Le volume le plus faible de courrier indésirable (74,5%) a été enregistré le 25 mars. Le volume de courrier indésirable a été le plus élevé le 13 novembre (86,9%). Pays, source du courrier indésirable Au mois de mars, le leader des pays source de courrier indésirable est à nouveau l'Inde qui a été à l'origine de 11,42 % (+2,59 %) de l'ensemble du courrier indésirable. La deuxième place revient au Brésil, avec 6,6 % (augmentation de 2 % par rapport à février), repoussant ainsi la Russie en troisième position. Le volume de courrier indésirable issu du territoire russe représentait 4,8% comme au mois de février. La part du courrier indésirable en provenance d'Indonésie (4,3 %) et d'Italie (4 %), en 4e et 5e position respectivement dans notre classement, est pratiquement inchangée. La part de courrier indésirable envoyé depuis la Corée du Sud a augmenté de 0,8% (3,3 %). Ce pays est passé de la 5e à la 8e position dans le classement du mois de mars des pays source de courrier indésirable. En conséquence, la Grande-Bretagne (3,9 %) et les États-Unis (3,4 %) progressent d'une position pour atteindre respectivement la 6e et la 7e place. Et la part de courrier indésirable en provenance de ces pays n'a que très peu changé par rapport au mois de février. Pièces jointes malveillantes dans le courrier Au mois de mars, 3,23% des messages électroniques contenaient des fichiers malveillants, soit 0,05% de plus que le mois passé. Par rapport au mois de février, nous n'observons que très peu de modification dans la répartition par pays des déclenchements de l'Antivirus Courrier. La Russie occupe toujours la première position (12,7% des pièces jointes malveillantes) et les États-Unis arrivent en deuxième position (12,5 %, soit 1,9% de plus que le mois précédent). Le pourcentage de déclenchements de l'Antivirus Courrier aux États-Unis est presque comparable à celui enregistré en Russie. La Grande-Bretagne, en troisième position, représente 6,2 % de l'ensemble des messages bloqués contenant des pièces jointes malveillantes, soit une progression de 1,1 % par rapport à février. L'Inde (4,35 %) et le Viet Nam (5,61 %), qui avaient fait leur entrée dans le Top 5 depuis quelques mois, ont connu un certain recul en mars. L'Inde est passée de la 4e à la 6e place tandis que le Viet Nam a reculé de la 3e à la 4e position. L'Allemagne, avec 5,4 %, a progressé d'une place. La position de l'Australie (4,21 %) dans notre classement reste inchangée. L'Italie (4,05 %), qui ne figurait pas dans le Top 10 en février, occupe la 8e position en mars. L'Espagne (3,27 %) a progressé de la 11e à la 9e position. Le classement des programmes malveillants les plus diffusés dans le courrier indésirable au mois de mars est le suivant : Plus de la moitié des programmes malveillants du Top 10 appartient à la famille TrojanDownloader.Win32.Deliver. Ces programmes sont des chevaux de Troie classiques : ils téléchargent et installent sur l'ordinateur infecté d'autres programmes malveillants à l'insu de l'utilisateur. Deux autres programmes du Top 10 sont des représentants de la famille TrojanSpy.Win32.SpyEyes. Les programmes malveillants de cette famille sont développés pour voler les données confidentielles de l'utilisateur. Une des modifications de Trojan-Spy.Win32.SpyEyes figurait déjà dans notre classement du mois de février. La première place est toujours occupée par Trojan-Spy.HTML.Fraud.gen. Pour en savoir plus sur ce cheval de Troie, lisez cet article. Nous avons écrit ci-dessus que les diffuseurs de courrier indésirable ont exploité la catastrophe naturelle au Japon et la guerre en Libye dans les messages contenant des liens ou des programmes malveillants. Certains diffuseurs ont même exploité les deux sujets dans une même diffusion : les messages au sujet de l'actualité brûlante du Japon ou de la Libye contenaient des liens identiques et ont été envoyés en même temps. Il est difficile de ne pas remarquer que ces messages ont été composés selon un modèle identique. Il est même amusant de voir que le lien malveillant dans le texte est suivi d'une notice de droit d'auteur qui change selon le message. Les détenteurs du droit d'auteur sont de grandes sociétés informatiques ou des sites Internet. Peut-être que les individus malintentionnés ont pensé que cette méthode maladroite suffirait à déjouer les filtres antispam. Des codes d'exploitation Java installaient le programme malveillant sur l'ordinateur de la victime qui cliquait sur le lien. Nicolas Brulé décrit cette diffusion malveillante plus en détail sur le blog des experts de Kaspersky Lab (http://www.securelist.com/ru/blog/40354/Goryachie_novosti_o_zemletryasenii_v_Yaponii). Hameçonnage Par rapport au mois de février, la part de messages de phishing dans le trafic de messagerie a reculé de 0,01 % et représente 0,02%. Au mois de mars, l'organisation en tête du Top 10 des victimes d'hameçonnage est toujours PayPal. Le site de ventes aux enchères eBay occupe la deuxième position. Les réseaux sociaux Facebook, Habbo et le jeu en ligne World of Warcraft figurent toujours parmi les cibles de prédilection des auteurs d'attaque de phishing. La moitié du classement de ces cibles est de nouveau composée par des services en ligne. Les banques sont devenues des victimes plus rares : les systèmes de transactions bancaires en ligne occupent principalement la partie inférieure du classement. Conclusion Les autorités judiciaires américaines ont une fois de plus porté un coup dur aux réseaux de zombies au mois de mars, ce qui a entraîné une réduction de courte durée du volume de courrier indésirable. Malgré cela, le pourcentage moyen de courrier indésirable au mois de mars a augmenté par rapport au chiffre de février. Comme nous l'avions prévu dans le rapport du mois de janvier, le volume mensuel moyen de courrier indésirable continue d'augmenter et il est fort probable qu'il retrouve son niveau de l'été 2010. Contrairement à nos attentes, les États-Unis n'ont pas fait leur apparition dans le Top 5 des pays source de courrier indésirable. La part de courrier indésirable envoyée depuis ce pays n'a pratiquement pas changé par rapport au mois de février. Il est toutefois intéressant de constater le regain d'intérêt pour les États-Unis en tant que cible pour les diffusions de courrier indésirable. Cela peut traduire les efforts fournis par les individus malintentionnés pour rétablir les réseaux de zombies dans ce pays.