Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr    
     
     
Les Analyses les plus Populaires



Cybermenaces financières en 2013. 2e partie : programmes malveillants



Evolution des menaces informatiques au 1er trimestre 2014



BitGuard : un système de recherche forcée



Cyber-menaces financières en 2013. 1ère partie : phishing



Bulletin Kaspersky Lab – prévisions 2014
 
 

  Page d'accueil / Analyses

Menaces sur les messageries instantanées

27.05.2008   |   comments (1)

Denis Maslenikov
Boris Yampolsky

Les programmes de messagerie instantanée sont très intéressants pour divers types d'individus malveillants. La connaissance des menaces potentielles qui peuvent être propagées via les clients de messagerie instantanée et des moyens de lutte contre celles-ci aideront les utilisateurs à éviter de nombreux inconvénients lors de l’échange de messages via Internet

Les principaux types de clients de messagerie instantanée

De nos jours, la communication via Internet est devenue une part incontournable de la vie de tous les jours. Il existe de nombreux moyens de communication et chacun d'entre eux occupe une place définie dans l'espace Internet. Il s'agit du courrier électronique, des chats, des forums, des commentaires sur les blogs, etc. Les systèmes de messagerie instantanée jouissent d'une certaine popularité (en anglais, Instant Messenger ou IM). Ils permettent de communiquer en temps réel avec une personne qui se trouve n'importe où dans le monde.

Afin de pouvoir communiquer à l'aide d'un client de messagerie instantanée, l'utilisateur doit uniquement avoir un accès à Internet et un logiciel (un client) pour l'échange de messages en temps réel. Ces programmes sont légions et les principales fonctions d'une messagerie instantanée telles que la recherche d'interlocuteurs selon les intérêts, la consultation des données personnelles du détenteur du compte, l'affichage des différents états dans lequel peut se situer l'auteur figure dans la grande majorité des programmes de ce genre. De nombreux clients de messagerie instantanée peuvent proposer des fonctions complémentaires en plus des fonctions de base.

ICQ est sans conteste le client de messagerie instantanée le plus populaire en Russie. Le nom ICQ évoque la phrase anglaise "I seek you" qui signifie "je te cherche". Chaque utilisateur d'ICQ possède un numéro unique ou UIN (unique identical number) qu'il utilise pour accéder au serveur. Chaque numéro unique est protégé par un mot de passe choisi par l'utilisateur. Les messages sont transmis via le protocole TCP/IP à l'aide d'un format spécial développé par la société Mirabilis. En règle générale, un message occupe un paquet TCP. Certains autres clients, par exemple QIP (Quiet Internet Pager) ou Miranda, transmettent les messages à l'aide de versions différentes de ce même protocole.

MSN Messenger (ou Windows Live Messenger), le client de messagerie instantanée développé par Microsoft, est un autre client de messagerie adopté par de nombreux utilisateurs dans les pays occidentaux. MSN Messenger utilise le protocole Microsoft Notification Protocol (appelé parfois Mobile Status Notification Protocol ou protocole pour la notification mobile). Le protocole MSNP2 est un protocole complètement ouvert mais pour l'instant, le code de ses autres versions est toujours fermé. La dernière version de MSN Messenger utilise la version MSNP14.

Il existe en Chine un client semblable à ICQ qui s'appelle QQ. Sa popularité dans la région est très élevée.



Ill. 1 Fenêtre du client de messagerie instantanée chinois QQ

Skype propose, en plus des fonctions de messagerie instantanée, la possibilité de réaliser des appels téléphoniques. Ce client, qui jouit d'une énorme popularité dans le monde entier, permet à l’utilisateur de parler gratuitement avec ses interlocuteurs. Il suffit pour cela d'un casque « écouteurs » avec un micro, d'un accès à Internet et du logiciel client. Skype permet également de réaliser des appels vers des numéros de téléphone, mais ce service est payant.

Cyber-Menaces sur les messageries instantanées

Malheureusement, les individus mal intentionnés ont accès au monde virtuel et les systèmes de messagerie instantanée ne leur ont pas échappé. Les clients de messagerie instantanée sont utilisés le plus souvent dans l'exécution des cybercrimes suivants :

  1. Vol des mots de passe des comptes de messagerie instantanée par craquage du mot de passe) ou obtention de ceux-ci auprès des utilisateurs à l'aide de méthodes d'ingénierie sociale.
  2. Diffusion de programmes malveillants.
    • Diffusion de messages contenant des liens qui entraînent le téléchargement d'un programme malveillant lorsque l'utilisateur clique sur le lien. Grâce aux méthodes d'ingénierie sociale, l'individu mal intentionné pousse l'utilisateur à ouvrir le fichier, autrement dit lancer le programme malveillant.
    • Diffusion de messages contenant des liens vers des pages Interne infectées.
      • Diffusion de messages non sollicités.

Tous les clients de messagerie instantanée sont exposés à diverses menaces. Prenons par exemple le client de messagerie QQ populaire en Chine. Les programmes malveillants Trojan-PSW.Win32.QQPass et son «frère» Worm.Win32.QQPass, très répandus en Chine, ont été spécialement conçus pour voler les mots de passe d'accès au client QQ. WormWin32.QQPass se multiplie en se copiant sur les disques amovibles avec le fichier autorun.inf, ce qui lui permet de s'exécuter automatiquement sur l'ordinateur sain (si la fonction de lancement automatique n'est pas désactivée sur ce dernier).

Les auteurs de virus n'ont pas ignoré Skype. Worm.Win32.Skip se diffuse via le client Skype. Il envoie aux contacts de l'utilisateur de l'ordinateur infecté un lien vers son fichier exécutable. De plus, le ver se copie sur les disques amovibles avec le fichier autorun.inf, corrige les fichiers hosts afin d'empêcher la mise à jour des logiciels antivirus et de Windows et tente d'interrompre le fonctionnement des logiciels de protection dans le système. Il existe également un cheval de Troie qui vole les mots de passe d'accès à Skype. Kaspersky Lab l'a désigné sous le nom de Trojan-PSW.Win32.Skyper.

MSN Messenger, développé par Microsoft, est utilisé activement par les individus mal intentionnés pour diffuser divers bots IRC. Nombreux sont ceux qui peuvent se multiplier via ce client grâce à une instruction obtenue depuis le centre d'administration par une porte dérobée. Cela se déroule de la manière suivante. Admettons que l'individu mal intentionné possède un petit réseau de zombies qu'il souhaite élargir. Pour ce faire, le centre d'administration envoie à toutes les portes dérobées l'instruction de diffuser vers tous les contacts de l'utilisateur infecté de MSN Messenger un message avec un lien tel que http://www.***.com/www.funnypics.com. Le reste dépend de l'individu qui reçoit le lien. S'il décide de regarder les « images drôles », alors le réseau de zombies comptera un ordinateur de plus. En effet, lorsque l'utilisateur clique sur le lien, une porte dérobée est chargée sur sa machine.

Les individus mal intentionnés utilisent MSN Messenger car ce client fait partie du paquet d'installation de Windows, ce qui signifie qu'il se trouve par défaut chez tous les utilisateurs de ce système d'exploitation. La popularité de MSN à l'étranger le rend particulièrement attrayant pour les individus mal intentionnés qui souhaitent augmenter le nombre d'ordinateurs infectés dans leurs réseaux de zombies.



Ill. 2. Partie du programme malveillant Backdoor.Win32.SdBot.clg.
Les instructions responsables de la multiplication du cheval de Troie sont soulignées en rouge

Cyber-menaces sur la messagerie instantanée ICQ

En prenant ICQ à titre d'exemple, nous allons aborder les modes d'attaque les plus répandus qui pourraient être appliqués à l'encontre des utilisateurs d'autres clients de messagerie instantanée.

Vol de mots de passe

Comme nous l'avons déjà dit, chaque utilisateur d'ICQ possède un numéro d'identification unique ou UIN. A l'heure actuelle, les nombres les plus répandus comptent neuf chiffres mais de nombreux utilisateurs aimeraient que leur UIN corresponde à leur numéro de téléphone portable, soit symétrique ou contienne des chiffres identiques. Pour certains, il s'agit simplement de pouvoir mémoriser plus facilement le numéro tandis que pour d'autres, il s'agit d'une question de prestige Les « beaux » numéros ICQ, à savoir les UIN à cinq, six ou sept chiffres contenant par exemple deux chiffres sont particulièrement appréciés.

Ces « beaux » numéros se vendent et les prix demandés sont en général assez élevés. De nombreux sites proposent des services de « commande de numéro » : pour une somme définie, le propriétaire du site s'engage avec un certain degré de certitude à « obtenir » le numéro souhaité par le client. Qui plus est, les vendeurs proposent également des numéros à neuf chiffres, sans intérêt, pour les personnes qui souhaitent organiser des diffusions massives. L'utilisation d'une multitude de numéros lors de la diffusion de messages non sollicités permet de contourner les dispositifs de protection contre le courrier indésirable basés sur les listes noires dans lesquelles les utilisateurs classent les numéros inconnus.

Ces vendeurs de numéros de prestige expliquent rarement les méthodes utilisées pour les obtenir. Ces magasins en ligne garantissent à l'acheteur que ces UIN sont obtenus de manière légale. Mais en réalité, la majorité de ces numéros ICQ sont obtenus de manière illicite.

Les individus mal intentionnés exploitent quelques méthodes pour voler les UIN. Parmi ces magasins en ligne qui proposent de « beaux » numéros, une partie d'entre eux se livre au craquage de mots de passe et au vol de comptes utilisateur. Une autre méthode consiste à trouver le mot de passe d'accès au primary email et à modifier le mot de passe d'origine associé à l'UIN de l'utilisateur à l'insu de ce dernier. Examinons cette méthode plus en détail.

Lorsqu'un utilisateur a oublié le mot de passe associé à son UIN, il peut recourir au service d'assistance d’ICQ qui propose un système de restauration du mot de passe. Ce système a été modifié récemment et perfectionné et à l'heure qu'il est, il s'agit d'un système qui protège les mots de passe plus ou moins efficacement contre le vol. L'utilisateur est invité à répondre à des questions qu'il a définies. S'il a oublié les réponses également, les questions peuvent être modifiées via le primary email, c.-à-d. l'adresse de messagerie électronique saisie dans les coordonnées au moment de l'inscription. Ce système est relativement fiable mais si l'individu mal intentionné parvient d'une manière ou d'une autre à accéder à ce compte de messagerie, l'UIN tombera entre ses mains. Une fois qu'il connaît le mot de passe d'accès au primary email, l'individu mal intentionné peut contacter le service d'assistance d'ICQ et demander l'envoi d'un nouveau mot de passe au nom du détenteur du compte sous prétexte qu'il ne se souvient plus de l'ancien. Une fois que l'individu mal intentionné a obtenu le nouveau mot de passe, il peut priver le détenteur du compte de l'accès à ICQ et au primary email en changeant les anciens mots de passe. Ce mode de vol est assez complexe : le craquage du mot de passe du compte de messagerie associé au numéro ICQ requiert un puissant ordinateur voire un réseau.

Toutefois, l'utilisation de divers programmes malveillants demeure la méthode la plus populaire pour voler les numéros ICQ. Le leader dans cette catégorie est sans conteste Trojan-PSW.Win32.LdPinch. Cette famille représente une menace pour les utilisateurs depuis quelques années déjà. Outre le vol des mots de passe d'accès à ICQ ou à d'autres clients de messagerie instantanée (par exemple Miranda), LdPinch vole également les mots de passe d'accès aux comptes de messagerie électronique, aux clients FTP, aux jeux en ligne, etc. Il existe des constructeurs de virus spéciaux pour la création du cheval de Troie indispensable à l'individu mal intentionné : ils permettent de définir les paramètres d'installation du programme malveillant sur l'ordinateur infecté, les mots de passe que le programme devra voler, etc. Une fois la configuration terminée, le voleur n'a plus qu'à indiquer l'adresse de courrier électronique à laquelle les informations confidentielles devront être renvoyées. C'est précisément la simplicité de la création de ces programmes malveillants qui fait qu'on les retrouve non seulement dans le trafic de messagerie électronique mais également dans le trafic de messagerie instantanée.



Ill. 3. Fenêtre du programme constructeur du cheval de Troie
Trojan-PSW.Win32.LdPinch

Diffusion de programmes malveillants

Alors que dans le trafic de messagerie électronique, les programmes malveillants qui se diffusent de manière indépendante ou grâce au courrier indésirable appartiennent à différentes familles, les individus mal intentionnés diffusent principalement trois types de programmes à l'aide d'ICQ :

  1. Les vers de messagerie instantanée qui sont des programmes qui exploitent le client en tant que plate-forme de multiplication.
  2. Les chevaux de Troie développés pour voler des mots de passe, y compris ceux associés aux numéros ICQ (il s'agit dans la majorité des cas de Trojan-PSW.Win32.LdPinch).
  3. Les programmes malveillants classés dans la catégorie Hoax.Win32.*.* (programmes malveillants créés pour escroquer des fonds à la victime) par Kaspersky Lab.

Comment les programmes malveillants sont-ils diffusés à l'aide d’ICQ ?

La diffusion des vers de messagerie instantanée a lieu sans l'intervention, ou presque, de l'utilisateur. Lorsqu'ils sont arrivés dans l'ordinateur de la victime, de nombreux vers de messagerie diffusent des liens vers eux-mêmes aux numéros contenus dans la liste des contacts du client de messagerie de la machine infectée. Les fonctions qu'ils remplissent sont des plus diverses : il s'agit du vol de mots de passe cité ci-dessus, de la création de réseau de zombies et parfois, d'actions destructrices (par exemple, la suppression de tous les fichiers .mp3 de l'ordinateur de l'utilisateur). ICQ est utilisé pour la diffusion active de programmes malveillants tels qu'Email-Worm.Win32.Warezov et Email-Worm.Win32.Zhelatin (le ver de la tempête).

Toutefois, dans la majorité des cas, l'intervention de l'utilisateur est presque toujours requise pour garantir la réussite de l'attaque. Les individus mal intentionnés tentent d'une manière ou d'une autre d'amener la victime à cliquer sur un lien et, si elle télécharge le fichier malveillant, à ouvrir le fichier. Plusieurs astuces d'ingénierie sociale sont utilisées pour obtenir le résultat voulu.

Voici un exemple d'attaque dont l'objectif est le téléchargement d'un programme malveillant sur l'ordinateur de la victime. Au début, l'individu mal intentionné enregistre quelques utilisateurs avec des informations qui vont les rendre intéressants (par exemple « jolie jeune fille de 22 ans recherche partenaire »). Ensuite, il « associe » à ces numéros des bots (petits programmes primitifs capables de maintenir une simple conversation). Au début de la conversation, les interlocuteurs souhaitent en général voir une photo de la « jolie jeune fille » et le bot les invite à cliquer sur un lien. Faut-il préciser que ce lien ne contient pas du tout de photo ? L'utilisateur curieux va être confronté à un programme malveillant.

Une autre option consiste à introduire les liens vers le programme malveillant dans le profil de la « jolie jeune fille ». Cette option exige plus d'efforts de la part de l'individu mal intentionné : il doit non seulement remplir quelques champs élémentaires dans le profil et choisir les utilisateurs pour l'attaque mais il doit lui-même parler avec la victime afin de l'intéresser aux « belles photos prises sur les plages du Pacifique » accessibles via un lien dans le profil de l'« interlocutrice ».

La diffusion de programmes malveillants par l'intermédiaire de messages ICQ non sollicités requiert également des astuces d'ingénierie sociale. Pour être plus précis, ce ne sont pas les programmes qui sont diffusés mais bien un lien vers ceux-ci.

Les liens du message peuvent mener à un site (site légitime mais compromis ou site spécialement conçu par les individus mal intentionnés) dont les pages contiennent le code d'un cheval de Troie téléchargeur. Le cheval de Troie téléchargeur doit télécharger un autre programme malveillant sur l'ordinateur de la victime. Vous trouverez ci-après une description plus précise de ce genre d'attaque.

Pour télécharger un programme malveillant à l'aide d'un code malveillant inséré dans un site Internet, les individus mal intentionnés exploitent le plus souvent les erreurs ou les vulnérabilités des navigateurs (principalement Internet Explorer). Pour commencer, l'individu mal intentionné attaque un site légitime et, en règle générale, assez populaire afin d'y insérer un code (par exemple, iframe ou un script Java crypté) qui installe le programme malveillant sur l'ordinateur du visiteur du site. L'autre version consiste à créer un site simple placé chez un hébergeur bon marché ou gratuit avec un code de téléchargement. Ensuite, l'individu organise une diffusion massive de messages instantanés indésirables contenant de la publicité pour le site en question. Si l'utilisateur clique sur le lien proposé, le programme malveillant est téléchargé à son insu sur son ordinateur. L'utilisateur peut même ne pas se rendre compte que le site qu'il a visité a été attaqué ou qu'il s'agit d'un site fictif. Et pendant ce temps, son ordinateur est déjà infecté par LdPinch ou IRCBot.

Les vulnérabilités qui peuvent être utilisées pour les attaques sont parfois présentes dans les clients de messagerie instantanée eux-mêmes. Dans de nombreux cas, la vulnérabilité peut entraîner un débordement de la mémoire tampon et l'exécution d'un code aléatoire dans le système ou permet à l'attaquant d'accéder à l'ordinateur distant à l'insu du propriétaire.

Si le criminel inclut une fonction d'autodiffusion à l'aide de cette même vulnérabilité sur d'autres machines dans le code du programme malveillant exécuté dans le système après le débordement de la mémoire tampon, alors ce programme peut apparaître très vite sur l'ordinateur d'un nombre important d'utilisateurs de l'application vulnérable et provoquer ainsi une épidémie. L'exploitation de vulnérabilités dans les attaques suppose de grandes connaissances techniques de la part de l'individu mal intentionné, ce qui réduit quelque peu les possibilités des cybercriminels.

On remarque ces derniers temps la diffusion active de programmes d'escroquerie prétendument capables de générer les codes PIN des cartes de paiement de communication de divers opérateurs mobiles dans les messages ICQ non sollicités. Ces programmes reçoivent la classification not-virus.Hoax.Win32.GSMgen de Kaspersky Lab. En réalité, l'application génère indéfiniment des combinaisons aléatoires de chiffres qui sont proposées à titre de code PIN pour alimenter le compte du téléphone. Le programme fournit les résultats sous une forme cryptée. Le décryptage est possible grâce à l'obtention de la clé, contre le paiement d'une somme définie bien entendu, auprès de l'auteur de celle-ci. En général, la somme demandée est modeste (entre 10 et 15 dollars), ce qui est un autre élément qui achève de convaincre l'utilisateur. Sa réflexion suit à peu près ce schéma : « Je paie une fois 300 roubles et je pourrais ensuite appeler gratuitement toute ma vie avec mon téléphone portable ! » Dans la mesure où la combinaison de chiffres obtenue de cette manière ne permet pas de réapprovisionner le compte, nous sommes confrontés ici à un cas d'escroquerie traditionnelle. (Il convient de signaler que si ce programme permettait réellement d'obtenir des codes PIN pour les cartes de recharge de téléphone, il coûterait bien plus cher et ses auteurs maintiendraient la plus grande discrétion pour éviter d'attirer l'attention des opérateurs de téléphonie mobile et des services spéciaux.)



Ill. 4. Fenêtre d'un programme de génération de code PIN

Messages non sollicités dans ICQ

A la différence des messages non sollicités envoyés par courrier électronique, les messages non sollicités envoyés via ICQ n'ont pas encore fait l'objet d'une étude appropriée. Vous trouverez ci-après les résultats d'une petite enquête organisée entre le 23 février et le 23 mars 2008 et au cours de laquelle nous avons étudié les objets des messages non sollicités reçus par les utilisateurs d'ICQ. Nous avons également réalisé une analyse comparative des messages non sollicités dans ICQ et des messages non sollicités dans le courrier électronique.

Sujets populaires dans les messages non sollicités d’ICQ

Les messages non sollicités envoyés via ICQ peuvent avoir les sujets les plus divers. La diffusion peut porter sur la publicité pour un nouveau site ou un serveur de jeux, une invitation à voter pour une personne quelconque dans un concours, une offre pour l'achat d'un modèle de téléphone portable cher à un prix réduit ou des messages contenant des liens vers le programme malveillant. Le lien peut mener vers un site avec un code d'exploitation d'une vulnérabilité d'Internet Explorer ou d'un autre navigateur Internet populaire (les messages contenant les liens malveillants n'ont pas été classés en catégories dans cette enquête).



Ill. 5. Répartition des messages ICQ non sollicités en fonction de l'objet

La publicité pour des sites de divertissement occupe la première place du classement avec 18,47 %. Sans risque de se tromper, nous pouvons confirmer que les messages de ce type vont affirmer pendant longtemps une position dominante dans les statistiques des messages ICQ non sollicités. Cette popularité trouve son origine dans l'efficacité de ce genre de messages non sollicités. Voici une situation typique : une personne passe de longues heures à travailler sur son ordinateur et voici qu'elle reçoit un message annonçant le lancement d'un nouveau site contenant une multitude d'images/d'histoires/de vidéos insolites, etc. Il est fort probable que l'utilisateur fatigué souhaite se divertir un peu pendant son travail et qu'il cliquera sur le lien proposé.

S'agissant de catégorie « Messages non sollicités pour adulte » que l'on retrouve à la deuxième place avec 17 %, les messages évoquent leurs homologues présents dans le trafic de messagerie instantanée : il s'agit de publicités pour des sites de rencontre, des sites pornographiques, des photos érotiques d'amateur, etc.

La rubrique « Revenus via Internet » (15,83 %) reprend les messages qui contiennent des offres de revenus pour cliquer sur des publicités, visiter des sites définis, consulter des publicités ainsi que du marketing de réseau.

La rubrique « messages non sollicités divers » (12,77 %) reprend divers sujets dont le faible pourcentage par rapport au flux global de messages non sollicités ne justifie pas la création d'une catégorie à part. On ne peut qu'envier l'imagination des auteurs de tels messages. Ainsi, ces messages sont des « lettres de chance », vantent les mérites d'un dentifrice, prédisent l’avènement d'une dictature fasciste en Russie, etc. Les principaux articles sujets de la publicité sont des DVD ou des pièces de rechange pour automobile. Il existe également des cas d'hameçonnage via ICQ. Nous en parlerons ci-après.

Les messages en rapport, d'une manière ou d'une autre, avec ICQ ont été regroupés dans notre classement dans une catégorie qui occupe la cinquième position avec 8,17%. Il convient de prêter attention aux « messages de la chance de l'utilisateur d'ICQ » qui contiennent dans la majorité des cas le texte suivant (l'orthographe et le style de l'auteur ont été préservés) :

"Attention !!! A partir du 1er
décembre, ICQ dEViendra payant. Tu peus éviter cela
en envoyant ce message à 20 de tes
contacts. Ce n'est pas une blague (source
www.icq.com). Si tu as envoyé le message 20
fois, tu recevra un message électronique et ta
fleur dEViendra bleue.CàD. que tu figureras
parmi ceux qui sont contre. Si le vote
l'emporte, ICQ resTEra gratuit"

Seuls le nombre de personnes auxquelles il faut envoyer le message et la date changent. Il convient de remarquer que certains messages comportent les signes de transferts multiples, ce qui signifie que de nombreux utilisateurs croient vraiment que leur « fleur deviendra bleue » et que ICQ restera pour toujours gratuit.

Des messages en diverses langues qui invitent l'utilisateur à utiliser la nouvelle version d'ICQ (version 6) sont également fréquents. Pour l'instant, nous ne savons pas pourquoi ce genre de messages est tellement prisé par les spammeurs. Des données non confirmées ont fait état de l'existence dans ICQ 6 d'une vulnérabilité au niveau d'une erreur de traitement des messages envoyés d'une certaine manière. Ces informations furent confirmées le 28 février 2008 : selon http://bugtraq.ru, « …l'envoi d'un message spécialement préparé (dans le cas le plus simple - "%020000000s") à un utilisateur d'ICQ 6.x provoquera une erreur lors de la formation du code HTML prévu pour l'affichage du texte dans le composant IE intégré. Cette erreur peut déboucher sur l'exécution d'un code aléatoire sur le système distant ». Cette vulnérabilité a été supprimée dans les versions ultérieures d'ICQ.

Les messages de la catégorie « Jeux pour ordinateurs » (5,79 %) peuvent être scindés en deux grands groupes : le premier fait la publicité de divers jeux en ligne tandis que le deuxième assure la promotion de serveurs de jeux, la plupart pour Lineage II et Counter-Strike.

Les offres de services illicites (5,45 %) ne représentent qu'un tiers de pour cent des publicités pour les jeux informatiques. Les individus mal intentionnés proposent aux destinataires des messages de voler le mot de passe d'accès à la boîte de messagerie requise pour un montant défini, d'organiser des attaques par déni de service, de créer de faux documents (russes ou étrangers), d'enseigner comment utiliser la carte de crédit d'autrui ou d'obtenir les informations indispensables pour l'utilisateur.

En dixième position, nous retrouvons les messages invitant le destinataire à voter pour un participant quelconque à un concours en ligne (5,28 %).

La neuvième place est occupée par les offres d'emploi et les propositions de partenariat commercial (4,17 %) et en dixième position, les services informatiques, y compris les services d'hébergement (3,22%).

La rubrique « messages non sollicités mobiles » (2,72 %) qui ferme notre liste comprend elle aussi deux groupes de messages. Le premier est composé de messages qui assurent la promotion de sites vendant des téléphones mobiles. A ce propos, le prix des modèles populaires proposés est souvent bien inférieur aux prix du marché, ce qui doit nous amener à réfléchir à l'origine et à l'authenticité de ces appareils. Le deuxième groupe contient les messages qui assurent la promotion de sites proposant divers types de contenus pour téléphones portables.

Du 23 février 2008 au 23 mars 2008, moins d'un pour cent des messages non sollicités sur ICQ vantaient les mérites de médicaments ou de services médicaux.

Il arrive parfois également que des tentatives d'hameçonnage (phishing) soient réalisées via ICQ. Leur nombre restreint ne justifiait pas la création d'une catégorie à part. Les individus mal intentionnés tentent d'obtenir les mots de passe associés à l'UIN des utilisateurs en exploitant les méthodes de l'ingénierie sociale. Dans ce cas, le succès des escrocs dépend en grande partie du degré d'informations de l'utilisateur. Il faut savoir qu'en général le service d'assistance technique officiel ICQ prévient les utilisateurs en cas de problèmes ou de perturbations du service mais en aucun cas il ne demandera à l'utilisateur d'envoyer son mot de passe à une adresse électronique quelconque ou de le saisir dans un formulaire en ligne.



Ill. 6. Exemple de message d'hameçonnage visant à obtenir le mot de passe d'accès à ICQ

Particularités des messages ICQ non sollicités

A la différence du courrier électronique, ICQ permet de rechercher des interlocuteurs potentiels en fonction des intérêts repris dans le profil de l'utilisateur. Les individus mal intentionnés peuvent ainsi organiser des diffusions ciblées de messages non sollicités. Le spammeur peut obtenir sans trop de difficultés les données dont il a besoin (dans la majorité des cas, il s'agit de l'âge et de la liste des intérêts) et les utiliser afin d'attirer l'attention du destinataire des messages envoyés.

La quasi totalité des messages non sollicités proviennent de numéros qui ne figurent pas dans la liste des contacts de l'utilisateur. Le nombre de messages non sollicités reçus par unité de temps dépend de son numéro ICQ. Les numéros à 6 chiffres reçoivent en moyenne 15 à 20 messages non sollicités par heure et nombreux sont ceux qui contiennent des liens vers Trojan-PSW.Win32.LdPinch. Les numéros à 9 chiffres tout à fait ordinaire reçoivent entre 10 et 14 messages de ce genre par jour tandis que les « beaux » numéros, de 2 à 2,5 fois plus.

La composition thématique des messages ICQ non sollicités diffèrent considérablement de la thématique des messages non sollicités dans le courrier électronique. Alors que dans le courrier électronique, près de 90 pour cent des messages assurent la promotion de divers services ou marchandises, ces messages ne représentent dans ICQ que moins de 13 pour cent (pourcentage de synthèse pour les catégories « Services illicites », « Services informatiques », « Messages non sollicités mobiles » et « Messages non sollicités médicaux »). Et dans le cas des offres de service, il s'agit principalement (5,45 %) de services illicites.

En général, les messages ICQ non sollicités sont axés sur le divertissement, ce qui est tout à fait logique : ce mode de communication n'est pas utilisé dans un cadre professionnel et la grande majorité de ses utilisateurs sont des jeunes gens. Les spammeurs tiennent compte des caractéristiques de l'auditoire : les messages ICQ non sollicités sont dominés par des propositions de visite de sites de divertissement ou des publicités « pour adultes ». Les messages des catégories « Jeux pour ordinateurs », « Votes » et « Messages non sollicités mobiles » sont également axés vers un public jeune. Au total, les messages ICQ non sollicités destinés aux jeunes représentaient près de 50 pour cent de l'ensemble des messages indésirables.

Les particularités de l'auditoire cible des messages ICQ non sollicités expliquent le faible pourcentage des messages à caractère médical. Pour rappel, cette catégorie arrive généralement en tête dans le courrier indésirable mais elle occupe la dernière place dans le classement pour ICQ avec moins de 1 %. Il semblerait que la publicité pour les articles et les services médicaux soit gaspillée sur les utilisateurs d'ICQ.

Traits spécifiques des messages ICQ non sollicités :

  1. Orientation vers un public jeune.
  2. Tendance générale tournée vers le divertissement.
  3. Quasi absence de publicités pour des articles de consommation. La seule exception se situe au niveau des offres de vente de téléphones mobiles ou de médicaments et le nombre restreint de messages repris dans la catégorie « Messages non sollicités divers ».
  4. Pourcentage relativement élevé (8,17 %) de messages dont l'objet est lié à ICQ.
  5. Part non négligeable (5,45 %) de messages de personnes offrant des services criminels. Les offres les plus fréquentes sont : détournement de comptes ICQ ou de messagerie, préparation de faux document, utilisation de cartes de crédit d'autrui.

Scénarios d'attaque

L'utilisateur a exécuté le fichier en cliquant sur le lien figurant dans le message ICQ et la photo tant attendue n'apparaît pas. Il attend une minute ou deux et pendant ce temps, le cheval de Troie a déjà parcouru les dossiers de l'ordinateur à la recherche de mots de passe. Ces mots de passe peuvent être cryptés, ce qui n'empêchera absolument pas l'individu mal intentionné de les décrypter par la suite. Ensuite, une fois qu'il a composé une liste de mots de passe, le cheval de Troie crée un message dans lequel il place les données confidentielles qu'il a recueillies et l'envoie à l'adresse de l'individu mal intentionné créée quelque jour avant l'attaque. Afin que le pare-feu intégré au système d'exploitation n'alerte pas l'utilisateur du danger, le cheval de Troie le met hors service en modifiant la clé correspondante dans la base de registres. Le code malveillant agit exactement de la même manière avec les autres programmes qui pourraient l'empêcher de voler les mots de passe et autres informations importantes. En fin de parcours, le programme malveillant crée un fichier bat qui liquide le cheval de Troie et lui-même, effaçant ainsi toute trace du méfait.

Le pirate traite des dizaines, voire des centaines de messages avec des mots de passe (en fonction de l'ampleur de la diffusion) envoyés par le cheval de Troie alors que l'utilisateur commence seulement à se rendre compte qu'il a été trompé. Il est également tout aussi probable qu'il ne se doute absolument de rien. Dans les deux cas, l'utilisateur se retrouve uniquement ave un lien vers une « photo », ce qui signifie que les chances d'identifier l'individu mal intentionné sont minimes.

« De toute manière, je n'avais aucune information importante sur mon ordinateur ! » se dit l'utilisateur trompé afin de se rassurer. Le pirate, quant à lui, partage une toute autre opinion. Il possède maintenant une liste impressionnante de mots de passe : mot de passe de courrier électronique, mot de passe d'accès à des clients FTP ou à des jeux en ligne, comptes bancaires de l'utilisateur et données d'accès à ICQ.

On peut se demander quel est l'intérêt du pirate à utiliser un numéro à neuf chiffres inconnus. Voici un exemple : le pirate saisi le mot de passe obtenu dans son client et accède à la liste des contacts de l'utilisateur trompé. Il peut ensuite envoyer un message tel que celui-ci : «Salut ! Pierre (Paul, Jean, etc.), je me demandais si tu ne pourrais pas me prêter 50 euros sur mon porte-monnaie électronique jusque demain ?" La suite dépend de la générosité de Pierre et de sa relation avec l'utilisateur trompé. En principe, il ne devrait pas être difficile de convaincre un Pierre hésitant. Le pirate enverra le même message à Paul et à Jean. Le temps joue contre l'individu mal intentionné et c'est la raison pour laquelle il ne se laisse pas entraîner dans de longues conversations. Même si une seule personne dans la liste des contacts de chaque utilisateur infecté accepte de transférer l'argent sur le porte-monnaie électronique, en une heure de conversation, l'individu mal intentionné peut engranger une somme rondelette équivalente au revenu d'un bon programmeur, voire plus.

Et les comptes FTP ? Que se passera-t-il si le site FTP auquel l'individu mal intentionné a obtenu l'accès grâce au mot de passe voler héberge les pages d'un site Web fréquenté ? Le criminel aura la possibilité d'ajouter à la fin de chaque page un iframe élémentaire ou un script Java crypté qui permettra de télécharger et d'exécuter un programme malveillant quelconque sur l'ordinateur de tous les internautes qui visitent le site en question.

Toutes les actions décrites ci-dessus peuvent être facilement reproduites. L'individu mal intentionné peut exploiter les adresses ICQ pour la diffusion de messages non sollicités sur une multitude de sites de rencontres et de forum. A vrai dire, ce n'est pas l'individu mal intentionné qui réalise cette opération mais bien un programme spécial qui remplit toutes les tâches ingrates telles que l'identification des numéros en double et la vérification de l'activité de la liste de messages non sollicités. Ensuite, le pirate installe le cheval de Troie sur un site hébergé gratuitement et envoie le lien vers celui-ci à la liste créée. Ensuite, un programme préalablement conçu trie le flux de messages renvoyés par les chevaux de Troie et classe les mots de passe par catégorie. La liste des nouveaux numéros ICQ obtenus par le cheval de Troie se transforme en une liste de diffusion supplémentaire. Si le numéro ICQ de l'utilisateur affecté est « intéressant », il peut être revendu pour une somme non négligeable. Et la dernière étape et la diffusion de messages contenant les demandes les plus convaincantes possible de prêt d'une petite somme d'argent. Si le contact réagit à la demande, le pirate entre en scène et met en pratique ses connaissances de la psychologie et de l'ingénierie sociale. Par la suite, les numéros "volés" peuvent être vendus à des diffuseurs de messages non sollicités. A première vue, on pourrait croire que ce qui précède est une invention mais comme le démontre la pratique, de telles escroqueries se manifestent en permanence.

En guise de synthèse de ce qui a été écrit plus haut, voici une liste des buts poursuivis par les individus mal intentionnés qui attaquent les clients de messagerie instantanée :

  1. Vente des numéros ICQ volés (vente en gros des numéros à neuf chiffres et vente au détail des « beaux » numéros).
  2. Création de listes de diffusion de messages non sollicités pour les revendre aux spammeurs ou pour réaliser des diffusions massives de programmes malveillants.
  3. Exploitation de la liste des contacts des numéros volés en guise de sources de confiance pour « emprunter » de l'argent.
  4. Téléchargement de programmes malveillants via des vulnérabilités.
  5. Modification des pages Web de sites légitimes (grâce au mot de passe d'accès au serveur FTP) afin de pouvoir charger un programme malveillant sur les ordinateurs des internautes.
  6. Création de réseaux de zombies ou extension des réseaux de zombies existants.
  7. Activités malveillants diverses.

Résistance face aux individus mal intentionnés dans les messageries instantanées

Que peut faire l'utilisateur confronté aux actions d'un système aussi intelligent et sans pitié ? Se protéger bien sûr ! Voici quelques conseils utiles qui vous protègeront contre les menaces diffusées via les clients de messagerie instantanée.

Avant toute chose, il faut être prudent et ne pas cliquer sans réfléchir sur le lien dans le message reçu. Vous trouverez ci-après quelques types de messages qui doivent tirer la sonnette l'alarme chez le destinataire :

  1. Message envoyé par un utilisateur inconnu au pseudo insolite (par exemple, SbawpathzsoipbuO).
  2. Un message envoyé par un de vos contacts vous invitant à regarder de nouvelles photos avec l'extension .exe.
  3. Un message contenant de prétendues informations sensationnelles sur une liaison entre deux people, « avec un reportage en direct ». Dans ce cas, le « reportage » est bien souvent un lien vers le fichier http://www.******.com/movie.avi.exe. Il est plus que probable que ce lien vous mène directement à Trojan-PSW.Win32.LdPinch
  4. Un message vous invitant à télécharger un programme qui ouvrira de nouveaux horizons pour l'utilisateur, par exemple : « Nouveau bogue dans ICQ qui permet d'enregistrer n'importe quel numéro non existant ». Le lien contenu dans ce genre de message conduira à un programme quelconque dont la fonction ne sera pas d'enregistrer un numéro non existant mais bien de voler le mot de passe associé à l'UIN de l'utilisateur.

Il est préférable d'ignorer ce genre de messages.

Si le message est envoyé par une personne que vous connaissez, il convient de vérifier si cette personne a bel et bien envoyé le message. Et, cela va de soi, il ne vaut pas la peine de télécharger sur son ordinateur un fichier avec l'extension EXE depuis un lien dans un message, ni encore moins l'exécuter. Même si l'extension du fichier n'apparaît pas dans le lien, celui-ci peut vous mener à un site qui vous redirige vers un autre lien associé au programme malveillant.

Il va sans dire que tous les utilisateurs doivent respecter les règles élémentaires de l'hygiène informatique : l'ordinateur doit être doté d'un logiciel antivirus avec les bases actualisées et un pare-feu pour bloquer les accès non autorisés au réseau. Il est préférable que le logiciel antivirus exploite la technologie de la défense proactive qui permet d'identifier les programmes malveillants en analysant leur comportement et/ou un analyseur heuristique.

Bien souvent, l'utilisateur ne se rendra même pas compte qu'un programme malveillant a été exécuté. Les questions étranges posées par des amis peuvent indiquer l'infection de l'ordinateur, par exemple : « Pourquoi m'as-tu demandé de te prêter 50 euros hier quand nous avons discuté sur ICQ » alors qu'en fait, il n'y a eu aucune communication entre le détenteur du numéro et son ami. Un autre indice plus révélateur d'une infection est offert par les tentatives infructueuses de se connecter à un service ou à un autre. L'échec de l'autorisation signale que le mot de passe a été modifié. Par qui ? Soit par un représentant officiel de ces services, soit par un individu mal intentionné. Mais dans le premier cas, l'utilisateur doit recevoir obligatoirement un nouveau mot de passe ou un message électronique ou autre signalant la modification du mot de passe. Dans le deuxième cas, aucun message n'est envoyé.

Que faire si le cheval de Troie a fait son oeuvre et s'est supprimé ? Pour commencer, vérifiez que l'ordinateur n'est plus infecté en l'analysant avec le logiciel antivirus. Ensuite, dans la mesure du possible, il est conseillé de modifier les mots de passe que le cheval de Troie à voler. Pour ce faire, il est indispensable de se rappeler les programmes dans lesquels les mots de passe sont utilisés et tenter de les saisir. Si la tentative d'ouverture de session réussit, il faut alors changer le mot de passe sur-le-champ. Vous pouvez également envoyer un message aux membres de votre liste de contact afin de les avertir et de les prévenir de ne pas accepter les demandes de prêts d'argent envoyées en votre nom via le client de messagerie instantanée, ni de tenter d'afficher les photos en cliquant sur le lien.

L'installation de la version la plus récente d'ICQ téléchargée depuis le site officiel permettra d'éviter l'exécution d'un code aléatoire dans le système rendue possible par une vulnérabilité dans ICQ 6.x en rapport avec le traitement du code HTML.

Afin de se protéger contre les messages ICQ non sollicités, il est conseillé de prendre les mesures suivantes :

Dans la mesure où le spammeur peut vérifier l'état ICQ de l'utilisateur depuis le site Web, il est conseillé de désactiver cette option dans le client pour votre numéro. Les diffusions de messages non sollicités visent les utilisateurs qui utilisent ICQ en permanence ou qui sont simplement en ligne. Pour cette raison, il est préférable de demeurer en mode invisible dans la mesure du possible. Il ne faut cependant pas oublier qu'il existe des programmes qui peuvent signaler à d'autres utilisateurs si vous êtes véritablement hors ligne ou tout simplement invisible. Dans ce cas, un bot anti-spam, à savoir un module simple pris en charge par certains clients de messagerie (par exemple QIP), pourra vous venir en aide. La capture d'écran illustre la configuration d'un bot anti-spam élémentaire.



Ill. 7. Configuration d'un bot anti-spam élémentaire

Comment fonctionne le bot anti-spam ? Imaginons qu'un utilisateur qui ne figure pas dans vos contacts souhaite vous parler. Avant de pouvoir vous envoyer un message ou entamer la conversation, il devra répondre à une question. Il ne pourra rien écrire tant qu'il n'aura pas répondu à la question. Dans ce genre de situation, il est préférable d'utiliser des questions dont tout le monde connaît la réponse, par exemple : « Combien font 2+2*2 ?» ou : « Comment s'appelle notre planète ». Si l'utilisateur répond « 6 » ou « Terre » et envoie le message, il pourra commencer à vous écrire. Cette protection est assez efficace contre divers bots qui diffusent des messages non sollicités mais la probabilité existe que quelques-uns d'entre eux soient suffisamment intelligents pour répondre aux questions les plus répandues telles que ce reprises dans les modules de protection par défaut.

Conclusion

Les clients de messagerie instantanée sont très intéressants pour divers types d'individus mal intentionnés et c'est la raison pour laquelle la problématique de la diffusion de programmes malveillants via ce canal est d'actualité. Les nouvelles versions des clients peuvent contenir des vulnérabilités inconnues qui peuvent être découvertes en premier lieu par les pirates puis en suite par les éditeurs de logiciels. Ces situations peuvent provoquer des épidémies massives. De plus, de nombreux utilisateurs sont lassés par les messages non sollicités dans les messageries instantanées.

Le respect des règles élémentaires de l'hygiène informatique, un bot antispam bien configuré et une bonne dose d'attention et de bon sens permettront aux utilisateurs de continuer à profiter des joies de la communication sur Internet.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com