Kaspersky Spam Report Apr12 FR
Transcription
Kaspersky Spam Report Apr12 FR
Courrier indésirable en avril 2012 Maria Namestnikova Sommaire Avril en chiffres ................................................................................................................ 2 Principaux sujets du courrier indésirable ......................................................................... 2 Nouvelles astuces dans le courrier indésirable malveillant et d'escroquerie ................ 2 Wikipedia et Amazon – une expérience ratée ? ................................................................................... 2 Diablo III – phishing avant la distribution.............................................................................................. 3 Courrier indésirable politique ....................................................................................... 4 Autres sujets d'actualité ............................................................................................... 6 Survol statistique ............................................................................................................. 7 Pays, source du courrier indésirable ............................................................................ 7 Pièces jointes malveillantes dans le courrier ............................................................... 8 Répartition des déclenchements de l'Antivirus Courrier par pays ....................................................... 8 TOP 10 des programmes malveillants diffusés par courrier ................................................................. 9 Phishing ..................................................................................................................... 10 Sujets du courrier indésirable .................................................................................... 11 Conclusion ................................................................................................................. 12 Avril en chiffres Par rapport au mois de mars, la part du courrier indésirable dans le trafic de messagerie a augmenté de 2,2% pour atteindre en moyenne 77,2%. Par rapport au mois de mars, la part de messages de phishing dans le trafic de messagerie n'a pas changé et représente 0,01%. Au mois d'avril, 2,8% des messages électroniques contenaient des fichiers malveillants, ce qui correspond également aux chiffres du mois dernier. Plus de 20 % des attaques de phishing en avril ciblaient les utilisateurs de Facebook. Principaux sujets du courrier indésirable Nouvelles astuces dans le courrier indésirable malveillant et d'escroquerie Les diffuseurs de courrier indésirable qui propagent du code malveillant et des messages de phishing poursuivent leur recherche du chemin le plus court pour accéder aux ordinateurs des utilisateurs Le courrier indésirable malveillant se développe rapidement. Les individus malintentionnés enrichissent systématiquement leur arsenal et développent de nouvelles astuces tant au niveau technique que dans l'ingénierie sociale. Wikipedia et Amazon – une expérience ratée ? En avril, nous avons détecté du courrier indésirable qui, à première vue, ne se différenciait guère des diffusions malveillantes traditionnelles présentées sous les traits d'un message officiel de Facebook. Ce message prétendument envoyé par le réseau social signalait que l'utilisateur souhaitait ajouter le destinataire à ses amis. Comme dans la majorité des fausses notifications officielles de Facebook diffusées l'année dernière, cette diffusion était de qualité et à première vue, rien ne permettait de remettre en cause l'authenticité du message. Selon le plan des individus malintentionnés, en cliquant sur n'importe quel lien du message, l'utilisateur n'arrivait pas du tout sur le site du réseau social, mais bien sur une page infectée par un code malveillant. Ce scénario vous est familier ? La seule différence était que les liens de ces messages ne menaient pas vers des domaines compromis ni vers des sites qui venaient à peine d'être enregistrés dans la zone .in, mais bien vers des pages de Wikipedia ou d'Amazon. Les individus malintentionnés ont vraisemblablement placé des scripts malveillants sur des pages Wikipedia qu'ils avaient créé, ainsi que sous la forme de publicité pour des articles sur le site Amazon.com. Pourquoi « vraisemblablement » ? Parce que l'astuce n'a pas vraiment fonctionné. Les équipes d'intervention des deux services ont vite réagi et ces liens avaient été rendu inopérationnels dès avant la fin de la diffusion. Diablo III – phishing avant la distribution Le jeu Diablo III, attendu par de nombreux joueurs autour du monde, devrait voir le jour au début du mois de juin. Les experts de la sécurité ont des inquiétudes vis-à-vis de ce jeu : la société Blizzard a autorisé officiellement le commerce d'articles du jeu dans ce nouveau MMORPG. Il est logique de supposer que les joueurs de Diablo III vont vite devenir la cible d'auteurs d'attaques de phishing. Mais personne ne s'attendait à ce que les individus malintentionnés commencent à exploiter ce jeu à leurs fins avant même sa sortie. Nous avons recensé dans les flux de messages non sollicités des messages qui jouent sur l'impatience des joueurs qui attendent la nouvelle version. Ces messages indiquent au destinataire qu'il a reçu l'autorisation de jouer à la version bêta de Diablo III au cours d'une période définie. Pour profiter de l'offre, il faut ouvrir une session sur battle.net (ressources où se trouvent les comptes des joueurs de Blizzard). Le lien, il va de soi, mène non pas au site indiqué, mais à une page de phishing. Le texte change légèrement de message en message, mais l'idée reste la même. Une fois que les individus malintentionnés ont obtenu les données d'enregistrement de l'utilisateur, ils ont accès à ses données d'accès au compte dans des systèmes de jeux populaires tels que Warcraft et Starcraft qui comme toujours sont des informations très recherchées sur le marché noir. Courrier indésirable politique Au mois d'avril, nous avons assisté à une augmentation du courrier indésirable politique destiné aux Américains et aux Français. Les mentions de Barack Obama dans le courrier indésirable sont presque aussi nombreuses qu'au cours de la première année après son élection. Et son nom est utilisé non seulement dans les messages politiques « évoquant les déçus de sa politique » ou qui signalent que le Président des Etats-Unis « craint de perdre les prochaines élections », mais également dans des publicités pour divers articles dont la promotion est souvent organisée par courrier indésirable. Par exemple, dans des messages non sollicités proposant du Viagra. Au fur et à mesure que le jour des élections approche aux Etats-Unis, l'intérêt des utilisateurs pour la lutte pour la Maison blanche et pour les personnalités des candidats et du Président actuel ne vont qu'augmenter. Sans aucun doute, les diffuseurs de courrier indésirable vont attiser cet intérêt en diffusant des tracts et vont continuer à exploiter cet intérêt à leur fin. Au cours des prochains mois, nous nous attendons à une augmentation du nombre de messages contenant des liens qui semblent mener vers des pages présentant des informations sensationnelles sur l'un ou l'autre candidat ou sur les élections en général. Dans le meilleur des cas, l'utilisateur qui clique sur ces liens découvrira des publicités de pilules pour hommes, comme dans l'exemple ci-dessus et dans le pire des cas, des programmes malveillants. Le courrier indésirable politique français s'est également activé, bien que nous nous attendions à un volume de courrier politique en France plus important en plein cœur de la campagne. Les diffusions que nous avons enregistrées étaient très peu nombreuses. Parmi celles-ci, nous avons détecté des offres de vente de t-shirts porteurs de slogans en faveur de Nicolas Sarkozy. Autres sujets d'actualité La situation complexe qui règne en Syrie a été exploitée dans le courrier indésirable. Des messages non sollicités à la nigérienne en provenance de « juristes et de banquiers travaillant dans ce pays » ont circulé. A la fin du mois, nous avons également détecté un message envoyé par l'épouse d'Assad. Nous détectons souvent des messages envoyés par des membres de la famille de divers leaders traversant des situations difficiles. Il arrive même parfois que ces messages soient rédigés par les leaders en personne. Il est tout à fait possible qu'apparaissent à l'avenir des messages prétendument écrits par Bashar Assad. Les enfants du couple présidentiel sont encore assez jeunes et par conséquent, il est peu probable que les diffuseurs de messages à la nigérienne envoient des messages en leur nom. Ceci étant dit, il n'y a rien de sacré pour les diffuseurs de courrier indésirable et pour eux, une crise dans n'importe quel pays est un moyen de gagner de l'argent. Le courrier indésirable exploitant le sujet du championnat d'Europe de football est de plus en plus présent. Cet événement se rapproche et l'intérêt du public grandit de jour en jour. De nombreux messages non sollicités proposent aux fanatiques du football qui n'ont pas pu réserver un hôtel les derniers chambres disponibles dans des hôtels en Pologne et en Ukraine. Il faut indiquer que l'offre des diffuseurs de courrier indésirable est maigre et les prix, il va de soi, sont bien plus chers. Les jeux olympiques d'été de Londres sont également dans le collimateur des escrocs de loterie. Il ne se passe pas un jour sans que nous ne détections un message signalant un gain à une loterie prétendument organisée par le fond olympique. Survol statistique Pays, source du courrier indésirable Pays, source de courrier indésirable en avril 2012 (Top 20) Le Top 20 des pays source de courrier indésirable du mois d'avril n'a pratiquement pas changé par rapport aux mois antérieurs. Le changement le plus remarquable à l'issue du mois est la progression des Etats-Unis qui passent de la 20e place du classement des diffuseurs de courrier indésirable à la deuxième. La part de courrier indésirable diffusé depuis ce pays a augmenté de plus de 7 %. La part de courrier indésirable diffusée depuis la Chine a augmenté de 5 %, ce qui permet à ce pays d'occuper la 5e position du classement. De son côté, la part de courrier indésirable en provenance d'Indonésie a reculé de 5,2 %. Ce pays d'Asie est en recul de 10 positions et se retrouve à la 12e place du Top 20. Nous supposons qu'un tel bouleversement du paysage est du à la nouvelle répartition de la puissance des réseaux de zombies de diffusion de courrier indésirable et au déplacement d'une partie de ceux-ci vers des pays où l'activité des diffuseurs de courrier indésirable s'était réduite l'année dernière. Signalons que les Etats-Unis et la Chine (et plus particulièrement Hong Kong) ont été au premier trimestre 2012 une des principales cibles des diffuseurs de messages non sollicités malveillants. L'infection de nouveaux ordinateurs dans ces pays a vraisemblablement entraîné le développement de nouveaux réseaux de zombies. Les autres modifications dans le classement des pays source de courrier indésirable sont de l'ordre de 2,5 %. Pièces jointes malveillantes dans le courrier Au mois d'avril, 2,8% des messages électroniques contenaient des fichiers malveillants, ce qui correspond aux chiffres du mois dernier. Répartition des déclenchements de l'Antivirus Courrier par pays Déclenchements de l'Antivirus Courrier par pays en avril 2012 Les Etats-Unis, comme tout au long du premier trimestre 2012, occupent la première place du classement des pays selon les déclenchements de l'Antivirus Courrier. La part des déclenchements de Kaspersky Mail Antivirus sur le territoire des Etats-Unis a légèrement augmenté (+0,64 %). L'Australie (-3,9 %) et Hong Kong (-2 %) qui occupaient la deuxième et la troisième place à la fin du mois de mars, ont été dépassés par le Viet Nam qui progresse de la quatrième à la deuxième place. La part des déclenchements de l'Antivirus Courrier sur le territoire de ce pays a augmenté de 2,4 %. La part des autres pays du classement n'a changé que de 2% environ. TOP 10 des programmes malveillants diffusés par courrier Top 10 des programmes malveillants diffusés par courrier en avril 2012 13,7 % de l'ensemble des détections de Kaspersky Mail Antivirus sont imputables au leader traditionnel de notre classement, à savoir Trojan-Spy.HTML.Fraud.gen, , soit 1,6 % de plus que le mois passé. Il s'agit d'un programme malveillant qui se présente sous la forme d'une page HTML qui imite la page d'ouverture de session sur le site d'une entité financière ou d'un service en ligne quelconque. Les données d'authentification saisies sur cette page sont envoyées aux individus malintentionnés. Email-Worm.Win32.Bagle.gt, EmailWorm.Win32.Mydoom.m et Email-Worm.Win32.NetSky.q occupent respectivement la troisième, la cinquième et la neuvième place de notre classement. Pour rappel, la fonction des vers de messagerie des familles Mydoom et Netsky se limite à la collecte d'adresses de messagerie sur les machines infectées et à leur diffusion vers celles-ci. Bagle.gt est le seul ver du Les habitués de notre classement que sont les vers de messagerie Top 10 qui, outre cette fonction, est capable également de contacter des ressources Internet afin de télécharger des programmes malveillants. Nous tenons à signaler l'entrée au classement du cheval de Troie de script TrojanDownloader.JS.Iframe.cvq. Il a représenté près de 2 % de l'ensemble des déclenchements de l'Antivirus Courrier. Près de 10 % des déclenchements de l'Antivirus Courrier du mois d'avril sont imputables à des programmes malveillants de script détectés à l'aide de technologies proactives. Cette information est inquiétante car les programmes malveillants de script dans les messages au format HTML débutent leur activité destructrice dès que l'utilisateur ouvre le message. Phishing Par rapport au mois de mars, la part de messages de phishing dans le trafic de messagerie n’a pas changé et représente 0,01%. Répartition du TOP 100 des organisations victimes d'attaques de phishing par catégories avril 2012 Le classement des catégories des organisations victimes d'attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l'utilisateur a tenté de cliquer, qu'il s'agisse d'un lien dans un message ou sur Internet. Nous avons observé en avril une modification perceptible dans le classement des organisations qui intéressent le plus les auteurs d'attaques de phishing : pour la première fois en quatre mois, les organisations financières (23,61 %) ont cédé la première position aux réseaux sociaux (28,8 %). La part des réseaux sociaux parmi les cibles des attaques de phishing a augmenté de près de 6 %. La majeure partie de cette hausse est due aux nombreuses attaques menées contre le réseau social Facebook. Plus de 20 % des attaques de phishing en avril ciblaient les utilisateurs de Facebook. Par rapport au mois de mars, la part des attaques contre les organisations financières a reculé, tout comme la part des attaques contre les magasins en ligne et les moteurs de recherche, les éditeurs de technologies de l'information et les organisations appartenant à la catégorie « divers ». Toutes ces modifications sont de l'ordre de 1,5 %. Ainsi, nous pouvons observer un léger déplacement du vecteur des attaques de phishing du côté des utilisateurs des réseaux sociaux. Sujets du courrier indésirable Catégories du courrier indésirable en avril 2012 La part des leaders traditionnels du classement des sujets les plus populaires chez les diffuseurs de courrier indésirable, à savoir « Escroquerie informatique » et « Finances personnelles », n'a que très peu changé par rapport au mois de mars. La part de la première a reculé de 2,2 %, tandis que la deuxième a augmenté de 0,8 %. La part de publicité pour les casinos en ligne demeure élevée (un peu plus de 6 %). La majorité des messages non sollicités qui font la publicité de casinos en ligne présente des signes d'escroquerie, de code malveillant ou des deux en même temps. La catégorie « Finances personnelles » est composée principalement d'offres de crédit bon marché ou de moyens de gagner de l'argent facilement, ce qui « sent » également l'escroquerie. Pour synthétiser ces données, nous pouvons affirmer sans crainte que plus de la moitié des diffusions de messages non sollicités en avril visait à voler des données personnelles ou financières des utilisateurs et indirectement, leur argent, ainsi qu'à installer du code malveillant sur les ordinateurs des victimes. La modification plus notoire à l'issue du mois et l'augmentation de 4,75 % de la catégorie « Décoration ». Plusieurs diffusions d'envergure sur le sujet ont été enregistrées au mois d'avril. Ce sursaut du courrier indésirable de la catégorie « Décoration » s'explique certainement par les offres printanières de nombreux marchands de meubles et de sociétés proposant le matériel et l'équipement pour les travaux de rénovation. La part des autres catégories a changé de l'ordre de 1,5 % par rapport au mois précédent. Conclusion A l'issue de ce mois, nous souhaitons signaler que le courrier indésirable devient plus dangereux : la part de code malveillant dans les pièces jointes est élevée, nous détectons un nombre conséquent de messages non sollicités contenant des liens malveillants et le nombre de messages non sollicités contenant des programmes malveillants de script qui rendent dangereuse l'ouverture même du message augmente. Le fait que de telles diffusions soient présentent d'un mois à l'autre témoigne du manque d'informations des utilisateurs. Le courrier indésirable ne serait pas une forme de diffusion du code malveillant aussi prisée si elle n'était pas avantageuse, du point de vue commercial, pour les diffuseurs. Souvent, les utilisateurs ne se doutent pas du danger qui plane sur leur ordinateur, leurs données personnelles, voire leur argent, lorsqu'ils ouvrent un message non sollicité. Au cours des prochains mois, nous nous attendons à un retour des diffusions que nous connaissons déjà avec des « informations sensationnelles » sur le président américain Barack Obama. De pus, le vecteur des attaques de phishing va probablement continuer à se déplacer vers les réseaux sociaux et, peut-être, les jeux en ligne alors que se profilent à l'horizon les vacances d'été au cours desquelles se sont surtout des écoliers et des étudiants qui sont actifs en ligne. Ils ne possèdent pas de gros comptes en banque, mais ils sont souvent très actifs sur les réseaux sociaux et utilisent beaucoup les sites de divertissement en ligne.