Kaspersky Spam Report Apr12 FR

Courrier indésirable en avril 2012
Maria Namestnikova
Sommaire
Avril en chiffres ................................................................................................................ 2
Principaux sujets du courrier indésirable ......................................................................... 2
Nouvelles astuces dans le courrier indésirable malveillant et d'escroquerie ................ 2
Wikipedia et Amazon – une expérience ratée ? ................................................................................... 2
Diablo III – phishing avant la distribution.............................................................................................. 3
Courrier indésirable politique ....................................................................................... 4
Autres sujets d'actualité ............................................................................................... 6
Survol statistique ............................................................................................................. 7
Pays, source du courrier indésirable ............................................................................ 7
Pièces jointes malveillantes dans le courrier ............................................................... 8
Répartition des déclenchements de l'Antivirus Courrier par pays ....................................................... 8
TOP 10 des programmes malveillants diffusés par courrier ................................................................. 9
Phishing ..................................................................................................................... 10
Sujets du courrier indésirable .................................................................................... 11
Conclusion ................................................................................................................. 12
Avril en chiffres

Par rapport au mois de mars, la part du courrier indésirable dans le trafic de messagerie a
augmenté de 2,2% pour atteindre en moyenne 77,2%.

Par rapport au mois de mars, la part de messages de phishing dans le trafic de messagerie
n'a pas changé et représente 0,01%.

Au mois d'avril, 2,8% des messages électroniques contenaient des fichiers malveillants,
ce qui correspond également aux chiffres du mois dernier.

Plus de 20 % des attaques de phishing en avril ciblaient les utilisateurs de Facebook.
Principaux sujets du courrier indésirable
Nouvelles astuces dans le courrier indésirable malveillant et d'escroquerie
Les diffuseurs de courrier indésirable qui propagent du code malveillant et des messages de
phishing poursuivent leur recherche du chemin le plus court pour accéder aux ordinateurs des
utilisateurs Le courrier indésirable malveillant se développe rapidement. Les individus
malintentionnés enrichissent systématiquement leur arsenal et développent de nouvelles astuces
tant au niveau technique que dans l'ingénierie sociale.
Wikipedia et Amazon – une expérience ratée ?
En avril, nous avons détecté du courrier indésirable qui, à première vue, ne se différenciait guère
des diffusions malveillantes traditionnelles présentées sous les traits d'un message officiel de
Facebook. Ce message prétendument envoyé par le réseau social signalait que l'utilisateur
souhaitait ajouter le destinataire à ses amis. Comme dans la majorité des fausses notifications
officielles de Facebook diffusées l'année dernière, cette diffusion était de qualité et à première
vue, rien ne permettait de remettre en cause l'authenticité du message. Selon le plan des individus
malintentionnés, en cliquant sur n'importe quel lien du message, l'utilisateur n'arrivait pas du tout
sur le site du réseau social, mais bien sur une page infectée par un code malveillant. Ce scénario
vous est familier ? La seule différence était que les liens de ces messages ne menaient pas vers
des domaines compromis ni vers des sites qui venaient à peine d'être enregistrés dans la zone .in,
mais bien vers des pages de Wikipedia ou d'Amazon.
Les individus malintentionnés ont vraisemblablement placé des scripts malveillants sur des pages
Wikipedia qu'ils avaient créé, ainsi que sous la forme de publicité pour des articles sur le site
Amazon.com. Pourquoi « vraisemblablement » ? Parce que l'astuce n'a pas vraiment fonctionné.
Les équipes d'intervention des deux services ont vite réagi et ces liens avaient été rendu
inopérationnels dès avant la fin de la diffusion.
Diablo III – phishing avant la distribution
Le jeu Diablo III, attendu par de nombreux joueurs autour du monde, devrait voir le jour au
début du mois de juin. Les experts de la sécurité ont des inquiétudes vis-à-vis de ce jeu : la
société Blizzard a autorisé officiellement le commerce d'articles du jeu dans ce nouveau
MMORPG. Il est logique de supposer que les joueurs de Diablo III vont vite devenir la cible
d'auteurs d'attaques de phishing. Mais personne ne s'attendait à ce que les individus
malintentionnés commencent à exploiter ce jeu à leurs fins avant même sa sortie.
Nous avons recensé dans les flux de messages non sollicités des messages qui jouent sur
l'impatience des joueurs qui attendent la nouvelle version. Ces messages indiquent au
destinataire qu'il a reçu l'autorisation de jouer à la version bêta de Diablo III au cours d'une
période définie. Pour profiter de l'offre, il faut ouvrir une session sur battle.net (ressources où se
trouvent les comptes des joueurs de Blizzard). Le lien, il va de soi, mène non pas au site indiqué,
mais à une page de phishing. Le texte change légèrement de message en message, mais l'idée
reste la même.
Une fois que les individus malintentionnés ont obtenu les données d'enregistrement de
l'utilisateur, ils ont accès à ses données d'accès au compte dans des systèmes de jeux populaires
tels que Warcraft et Starcraft qui comme toujours sont des informations très recherchées sur le
marché noir.
Courrier indésirable politique
Au mois d'avril, nous avons assisté à une augmentation du courrier indésirable politique destiné
aux Américains et aux Français. Les mentions de Barack Obama dans le courrier indésirable sont
presque aussi nombreuses qu'au cours de la première année après son élection. Et son nom est
utilisé non seulement dans les messages politiques « évoquant les déçus de sa politique » ou qui
signalent que le Président des Etats-Unis « craint de perdre les prochaines élections », mais
également dans des publicités pour divers articles dont la promotion est souvent organisée par
courrier indésirable. Par exemple, dans des messages non sollicités proposant du Viagra.
Au fur et à mesure que le jour des élections approche aux Etats-Unis, l'intérêt des utilisateurs
pour la lutte pour la Maison blanche et pour les personnalités des candidats et du Président actuel
ne vont qu'augmenter. Sans aucun doute, les diffuseurs de courrier indésirable vont attiser cet
intérêt en diffusant des tracts et vont continuer à exploiter cet intérêt à leur fin. Au cours des
prochains mois, nous nous attendons à une augmentation du nombre de messages contenant des
liens qui semblent mener vers des pages présentant des informations sensationnelles sur l'un ou
l'autre candidat ou sur les élections en général. Dans le meilleur des cas, l'utilisateur qui clique
sur ces liens découvrira des publicités de pilules pour hommes, comme dans l'exemple ci-dessus
et dans le pire des cas, des programmes malveillants.
Le courrier indésirable politique français s'est également activé, bien que nous nous attendions à
un volume de courrier politique en France plus important en plein cœur de la campagne. Les
diffusions que nous avons enregistrées étaient très peu nombreuses. Parmi celles-ci, nous avons
détecté des offres de vente de t-shirts porteurs de slogans en faveur de Nicolas Sarkozy.
Autres sujets d'actualité
La situation complexe qui règne en Syrie a été exploitée dans le courrier indésirable. Des
messages non sollicités à la nigérienne en provenance de « juristes et de banquiers travaillant
dans ce pays » ont circulé. A la fin du mois, nous avons également détecté un message envoyé
par l'épouse d'Assad. Nous détectons souvent des messages envoyés par des membres de la
famille de divers leaders traversant des situations difficiles. Il arrive même parfois que ces
messages soient rédigés par les leaders en personne. Il est tout à fait possible qu'apparaissent à
l'avenir des messages prétendument écrits par Bashar Assad. Les enfants du couple présidentiel
sont encore assez jeunes et par conséquent, il est peu probable que les diffuseurs de messages à
la nigérienne envoient des messages en leur nom. Ceci étant dit, il n'y a rien de sacré pour les
diffuseurs de courrier indésirable et pour eux, une crise dans n'importe quel pays est un moyen
de gagner de l'argent.
Le courrier indésirable exploitant le sujet du championnat d'Europe de football est de plus en
plus présent. Cet événement se rapproche et l'intérêt du public grandit de jour en jour. De
nombreux messages non sollicités proposent aux fanatiques du football qui n'ont pas pu réserver
un hôtel les derniers chambres disponibles dans des hôtels en Pologne et en Ukraine. Il faut
indiquer que l'offre des diffuseurs de courrier indésirable est maigre et les prix, il va de soi, sont
bien plus chers.
Les jeux olympiques d'été de Londres sont également dans le collimateur des escrocs de loterie.
Il ne se passe pas un jour sans que nous ne détections un message signalant un gain à une loterie
prétendument organisée par le fond olympique.
Survol statistique
Pays, source du courrier indésirable
Pays, source de courrier indésirable en avril 2012 (Top 20)
Le Top 20 des pays source de courrier indésirable du mois d'avril n'a pratiquement pas changé
par rapport aux mois antérieurs.
Le changement le plus remarquable à l'issue du mois est la progression des Etats-Unis qui
passent de la 20e place du classement des diffuseurs de courrier indésirable à la deuxième. La
part de courrier indésirable diffusé depuis ce pays a augmenté de plus de 7 %. La part de courrier
indésirable diffusée depuis la Chine a augmenté de 5 %, ce qui permet à ce pays d'occuper la 5e
position du classement. De son côté, la part de courrier indésirable en provenance d'Indonésie a
reculé de 5,2 %. Ce pays d'Asie est en recul de 10 positions et se retrouve à la 12e place du Top
20.
Nous supposons qu'un tel bouleversement du paysage est du à la nouvelle répartition de la
puissance des réseaux de zombies de diffusion de courrier indésirable et au déplacement d'une
partie de ceux-ci vers des pays où l'activité des diffuseurs de courrier indésirable s'était réduite
l'année dernière. Signalons que les Etats-Unis et la Chine (et plus particulièrement Hong Kong)
ont été au premier trimestre 2012 une des principales cibles des diffuseurs de messages non
sollicités malveillants. L'infection de nouveaux ordinateurs dans ces pays a vraisemblablement
entraîné le développement de nouveaux réseaux de zombies.
Les autres modifications dans le classement des pays source de courrier indésirable sont de
l'ordre de 2,5 %.
Pièces jointes malveillantes dans le courrier
Au mois d'avril, 2,8% des messages électroniques contenaient des fichiers malveillants, ce qui
correspond aux chiffres du mois dernier.
Répartition des déclenchements de l'Antivirus Courrier par pays
Déclenchements de l'Antivirus Courrier par pays en avril 2012
Les Etats-Unis, comme tout au long du premier trimestre 2012, occupent la première place du
classement des pays selon les déclenchements de l'Antivirus Courrier. La part des
déclenchements de Kaspersky Mail Antivirus sur le territoire des Etats-Unis a légèrement
augmenté (+0,64 %).
L'Australie (-3,9 %) et Hong Kong (-2 %) qui occupaient la deuxième et la troisième place à la
fin du mois de mars, ont été dépassés par le Viet Nam qui progresse de la quatrième à la
deuxième place. La part des déclenchements de l'Antivirus Courrier sur le territoire de ce pays a
augmenté de 2,4 %.
La part des autres pays du classement n'a changé que de 2% environ.
TOP 10 des programmes malveillants diffusés par courrier
Top 10 des programmes malveillants diffusés par courrier en avril 2012
13,7 % de l'ensemble des détections de Kaspersky Mail Antivirus sont imputables au leader
traditionnel de notre classement, à savoir Trojan-Spy.HTML.Fraud.gen, , soit 1,6 % de plus que
le mois passé. Il s'agit d'un programme malveillant qui se présente sous la forme d'une page
HTML qui imite la page d'ouverture de session sur le site d'une entité financière ou d'un service
en ligne quelconque. Les données d'authentification saisies sur cette page sont envoyées aux
individus malintentionnés.
Email-Worm.Win32.Bagle.gt, EmailWorm.Win32.Mydoom.m et Email-Worm.Win32.NetSky.q occupent respectivement la
troisième, la cinquième et la neuvième place de notre classement. Pour rappel, la fonction des
vers de messagerie des familles Mydoom et Netsky se limite à la collecte d'adresses de
messagerie sur les machines infectées et à leur diffusion vers celles-ci. Bagle.gt est le seul ver du
Les habitués de notre classement que sont les vers de messagerie
Top 10 qui, outre cette fonction, est capable également de contacter des ressources Internet afin
de télécharger des programmes malveillants.
Nous tenons à signaler l'entrée au classement du cheval de Troie de script TrojanDownloader.JS.Iframe.cvq. Il a représenté près de 2 % de l'ensemble des déclenchements de
l'Antivirus Courrier. Près de 10 % des déclenchements de l'Antivirus Courrier du mois d'avril
sont imputables à des programmes malveillants de script détectés à l'aide de technologies
proactives. Cette information est inquiétante car les programmes malveillants de script dans les
messages au format HTML débutent leur activité destructrice dès que l'utilisateur ouvre le
message.
Phishing
Par rapport au mois de mars, la part de messages de phishing dans le trafic de messagerie n’a pas
changé et représente 0,01%.
Répartition du TOP 100 des organisations victimes d'attaques de phishing par catégories
avril 2012
Le classement des catégories des organisations victimes d'attaques de phishing repose sur les déclenchements de
notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur
lesquels l'utilisateur a tenté de cliquer, qu'il s'agisse d'un lien dans un message ou sur Internet.
Nous avons observé en avril une modification perceptible dans le classement des organisations
qui intéressent le plus les auteurs d'attaques de phishing : pour la première fois en quatre mois,
les organisations financières (23,61 %) ont cédé la première position aux réseaux sociaux
(28,8 %). La part des réseaux sociaux parmi les cibles des attaques de phishing a augmenté de
près de 6 %. La majeure partie de cette hausse est due aux nombreuses attaques menées contre le
réseau social Facebook. Plus de 20 % des attaques de phishing en avril ciblaient les utilisateurs
de Facebook.
Par rapport au mois de mars, la part des attaques contre les organisations financières a reculé,
tout comme la part des attaques contre les magasins en ligne et les moteurs de recherche, les
éditeurs de technologies de l'information et les organisations appartenant à la catégorie
« divers ». Toutes ces modifications sont de l'ordre de 1,5 %.
Ainsi, nous pouvons observer un léger déplacement du vecteur des attaques de phishing du côté
des utilisateurs des réseaux sociaux.
Sujets du courrier indésirable
Catégories du courrier indésirable en avril 2012
La part des leaders traditionnels du classement des sujets les plus populaires chez les diffuseurs
de courrier indésirable, à savoir « Escroquerie informatique » et « Finances personnelles », n'a
que très peu changé par rapport au mois de mars. La part de la première a reculé de 2,2 %, tandis
que la deuxième a augmenté de 0,8 %.
La part de publicité pour les casinos en ligne demeure élevée (un peu plus de 6 %).
La majorité des messages non sollicités qui font la publicité de casinos en ligne présente des
signes d'escroquerie, de code malveillant ou des deux en même temps. La catégorie « Finances
personnelles » est composée principalement d'offres de crédit bon marché ou de moyens de
gagner de l'argent facilement, ce qui « sent » également l'escroquerie.
Pour synthétiser ces données, nous pouvons affirmer sans crainte que plus de la moitié des
diffusions de messages non sollicités en avril visait à voler des données personnelles ou
financières des utilisateurs et indirectement, leur argent, ainsi qu'à installer du code malveillant
sur les ordinateurs des victimes.
La modification plus notoire à l'issue du mois et l'augmentation de 4,75 % de la catégorie
« Décoration ». Plusieurs diffusions d'envergure sur le sujet ont été enregistrées au mois d'avril.
Ce sursaut du courrier indésirable de la catégorie « Décoration » s'explique certainement par les
offres printanières de nombreux marchands de meubles et de sociétés proposant le matériel et
l'équipement pour les travaux de rénovation.
La part des autres catégories a changé de l'ordre de 1,5 % par rapport au mois précédent.
Conclusion
A l'issue de ce mois, nous souhaitons signaler que le courrier indésirable devient plus
dangereux : la part de code malveillant dans les pièces jointes est élevée, nous détectons un
nombre conséquent de messages non sollicités contenant des liens malveillants et le nombre de
messages non sollicités contenant des programmes malveillants de script qui rendent dangereuse
l'ouverture même du message augmente. Le fait que de telles diffusions soient présentent d'un
mois à l'autre témoigne du manque d'informations des utilisateurs. Le courrier indésirable ne
serait pas une forme de diffusion du code malveillant aussi prisée si elle n'était pas avantageuse,
du point de vue commercial, pour les diffuseurs. Souvent, les utilisateurs ne se doutent pas du
danger qui plane sur leur ordinateur, leurs données personnelles, voire leur argent, lorsqu'ils
ouvrent un message non sollicité.
Au cours des prochains mois, nous nous attendons à un retour des diffusions que nous
connaissons déjà avec des « informations sensationnelles » sur le président américain Barack
Obama. De pus, le vecteur des attaques de phishing va probablement continuer à se déplacer vers
les réseaux sociaux et, peut-être, les jeux en ligne alors que se profilent à l'horizon les vacances
d'été au cours desquelles se sont surtout des écoliers et des étudiants qui sont actifs en ligne. Ils
ne possèdent pas de gros comptes en banque, mais ils sont souvent très actifs sur les réseaux
sociaux et utilisent beaucoup les sites de divertissement en ligne.