Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
Les Analyses les plus Populaires



Rapport de Kaspersky Lab sur les cybermenaces mobiles : les attaques visant Android sous stéroïdes



Courrier indésirable en août 2014



10 astuces simples pour renforcer la sécurité de votre Mac



Enquête sur un incident : vol dans une banque électronique



PAC et la problématique de la configuration automatique
 
 

  Page d'accueil / Analyses

Baromètre de Kaspersky sur la cybercriminalité. Courrier indésirable en 2008

9.03.2009   |   comment

Daria Gudkova
Tatiana Kulikova
Katerina Kalimanova
Daria Bronnikova

  1. Développement des cyber-menaces en 2008
  2. Principales statistiques pour 2008
  3. Courrier indésirable en 2008

Introduction

2008 a été une année particulière à plus d'un titre. D'une part, des initiatives sérieuses ont été lancées à l'échelle internationale pour organiser la lutte contre le courrier indésirable. Ces efforts ont débouché sur la fermeture de serveurs qui hébergeaient les centres de contrôle d'importants réseaux de zombies. D'autre part, la crise économique mondiale qui s'est amorcée en 2008 a eu des répercussions sur le secteur de la diffusion de messages non sollicités. La structure du courrier indésirable s'est modifiée : les publicités pour des articles réels ont diminué et ont été remplacées par des messages non sollicités à caractère criminels.

Bilan de l'année

  • En moyenne, la part de courrier indésirable a atteint 82,1 %, soit 2,1 % de plus qu'en 2007.
  • Quelques jours après la fermeture de l'hébergeur McColo, dont les serveurs abritaient les centres de contrôle de plusieurs réseaux de zombies, le volume de courrier indésirable en Russie et aux Etats-Unis a diminué (respectivement 2 et 3 fois moins).
  • Le courrier indésirable contenant des liens vers des sites d'hameçonnage a représenté en moyen 1,01 % du volume moyen.
  • La part de messages contenant des pièces jointes malveillantes a atteint en moyenne 0,89 %.
  • Les diffuseurs de courrier indésirable ont exploité les particularités du langage HTML pour contourner les filtres antispam.
  • Le nombre de messages non sollicités ciblant les utilisateurs des réseaux sociaux a augmenté de même que le courrier indésirable dans les réseaux sociaux.
  • Des messages non sollicités poussant les destinataires à envoyer des SMS vers des numéros à tarification élevée ont circulé dans l'Internet russophone.
  • Au cours du deuxième semestre, la part de courrier indésirable de la catégorie "Autres biens et serveurs", indicateur du nombre de commandes envoyées par des membres de l'économie réelle aux diffuseurs de courrier indésirable, a diminué.
  • La part de courrier indésirable "pour adultes" a augmenté de près de 10 %, ce qui a contribué à l'augmentation du trafic vers les sites pornographiques.
  • La crise économique mondiale et le nom du nouveau président des Etats-Unis ont été souvent utilisés pour attirer l'attention sur les produits et les services promus par le courrier indésirable.

Répartition du courrier indésirable

En moyenne, la part de courrier indésirable a atteint 82,1 %, soit 2,1 % de plus qu'en 2007. La part la plus faible dans le trafic de messagerie, soit 50,5 %, a été enregistrée le 13 novembre par les experts de Kaspersky Lab, après la fermeture des serveurs de McColo. La part la plus importante (97,8 %) a été enregistrée le 1er mars.

 
Part du courrier indésirable dans l'Internet russophone en 2008

Le schéma qui illustre la répartition du courrier indésirable montre une tendance claire à la baisse du courrier indésirable dans le trafic de messagerie. Il serait toutefois erroné de penser qu'il s'agit d'une réduction de l'activité des diffuseurs de courrier indésirable.

La tendance à la baisse du courrier indésirable dans l'Internet russophone s'explique par la réduction estivale des indicateurs de courrier indésirable (ils se sont maintenus aux alentours de 80 % tout au long de l'été) et par la chute sensible enregistrée en novembre suite à la fermeture des serveurs de l'hébergeur McColo où se trouvaient les centres de commande de quelques réseaux de zombies importants (Rustock, Srizbi, Dedler, Storm, Mega-D et Pushdo). Vers la fin du mois de novembre, le courrier indésirable regagnait déjà ses positions et au mois de décembre, il représentait 82,5 % du trafic de messagerie dans l'Internet russophone.

Quelques jours après la fermeture de McColo, Kaspersky Lab a enregistré 2 fois moins de courrier indésirable en Russie et 3 fois moins aux Etats-Unis. Un tel effet de la fermeture d'un hébergeur sur le volume de courrier indésirable reste inédit et démontre une fois de plus que la lutte contre le courrier indésirable ne doit pas se limiter aux solutions logicielles. Il faut agir également au niveau de la coopération internationale dans les milieux technologiques et juridiques.

Pays d'origine du courrier indésirable dans l'espace Internet russe

 
Pays d'origine du courrier indésirable

La Russie est la principale source du courrier indésirable qui a affecté les internautes russes en 2008 (en 2007, il s'agissait des Etats-Unis). Les Etats-Unis arrivent en deuxième position tandis que les autres pays restent loin derrière.

Types et tailles des messages non sollicités

 
Taille des messages non sollicités

Comme pour les années précédentes, la taille moyenne de la majorité des messages non sollicités était inférieure à 10 Ko. Malgré la généralisation des tarifs uniques et des grands canaux Internet, les diffuseurs de courrier indésirable préfèrent toujours envoyer de brefs messages.

 
Types de messages non sollicités

Aucune modification n'est à signaler dans la répartition des types de messages non sollicités : la majorité de ces messages contient uniquement du texte, ce qui permet d'envoyer des messages de petite taille.

Dans l'Internet russophone, la majorité des messages non sollicités est rédigée en russe avec 77 % de l'ensemble des messages non sollicités. L'anglais arrive en deuxième position (14 % des messages). Les autres langues représentent 9 %, parmi lesquelles le français, l'allemand, l'italien et le portugais.

Hameçonnage

Le courrier indésirable contenant des liens vers des sites d'hameçonnage a représenté en moyenne 1,01 % du volume. Les escrocs ont été considérablement plus actifs au cours du premier semestre qu'au cours du deuxième : respectivement 1,32 % et 0,7 %. Kaspersky Lab a observé une augmentation du nombre d'attaques d'hameçonnage entre mai et juin 2008.

 
Messages contenant des liens
vers des sites d'hameçonnage en 2008

Une activité plus intense était attendue en fin d’année. Logiquement, dans le contexte de la crise financière touchant des centaines de banques, les cybercriminels auraient pu déployer de nouvelles attaques contre les clients de ces institutions financières, jouant la carte des rumeurs de faillite, etc. De même, les achats en ligne et l'envoi de cartes de vœux électroniques auraient pu constituer des opportunités complémentaires.

L'absence d'explosion du nombre d'attaques d'hameçonnage s'explique peut-être par la fermeture des hébergeurs McColo et Atrivo dont les serveurs abritaient des sites fictifs ou des centres de commande de réseaux de zombies utilisés pour la diffusion de messages d'hameçonnage et de courrier indésirable.

 
Hit-parade des organisations attaquées

Les auteurs d'attaques d'hameçonnage se sont surtout intéressés au système de paiement PayPal. Ils s'en sont pris moins souvent aux informations confidentielles des clients de banques (Bank of America, Wachovia). Il est intéressant de voir que la Chase Manhattan Bank fut victime d'une attaque d'envergure en novembre et en décembre 2008 seulement mais ces attaques furent tellement importantes que cette banque a atteint la deuxième place dans la liste des organisations les plus attaquées.

Afin de ne pas être victime de ces escroqueries, les internautes doivent se rappeler qu'une société fiable et renommée exerçant ses activités via Internet ne demandera jamais à ses clients de saisir leurs données confidentielles sur une page Web accessible via un lien envoyé dans un message.

Diffusion de pièces jointes malveillantes et de liens vers des sites compromis

Les données relatives aux pièces jointes malveillantes dans le courrier électronique ont été récoltées à l'aide de Kaspersky Hosted Security, un service proposé à ses clients en Europe centrale, en Grande-Bretagne, aux Etats-Unis et en Russie.

Messages avec pièces jointes malveillantes

A l'heure actuelle, le courrier électronique représente un danger bien moindre en matière d'infection par un programme malveillant que les années précédentes. De plus en plus souvent, les diffuseurs de courrier indésirable envoient des messages contenant des liens vers des pages infectées.

Toujours est-il que Kaspersky Lab a observé vers la fin de l'année 2008 une augmentation du pourcentage de messages contenant des pièces jointes malveillantes. Ce phénomène a connu une certaine recrudescence au deuxième semestre (1,12 % de l'ensemble du trafic de messagerie) par rapport au premier (0,66 %).

 

La part de messages contenant des pièces jointes malveillantes fut en moyenne de 0,89 %.

Top 20 des programmes malveillants diffusés par courrier électronique en 2008

Trojan-Downloader.JS.Iframe.sh 31.07%
Backdoor.Win32.Hijack.e 8.98%
Trojan-Clicker.HTML.Agent.ag 7.73%
Backdoor.Win32.UltimateDefender.tt 4.42%
Trojan-Dropper.Win32.Agent.yzp 2.94%
Trojan-Dropper.Win32.Agent.xgg 2.72%
Worm.Win32.AutoRun.svl 2.02%
Trojan-Downloader.JS.Agent.cye 1.96%
Trojan-Downloader.Win32.Agent.algj 1.60%
Trojan-Downloader.Win32.Agent.afqa 1.52%
Trojan-Spy.Win32.Goldun.axt 1.46%
Trojan-PSW.Win32.Agent.lcc 1.37%
Trojan-Downloader.HTML.Agent.km 1.32%
Trojan-Dropper.Win32.Agent.xql 1.30%
Trojan-Downloader.JS.Agent.ckn 1.22%
Email-Worm.Win32.NetSky.q 1.12%
Trojan-Spy.Win32.Goldun.azl 1.11%
Trojan-Spy.Win32.Goldun.bbg 1.04%
Trojan.Win32.Buzus.hrp 0.98%
Trojan-Spy.Win32.Zbot.fql 0.92%

Pour la première fois depuis que Kaspersky Lab diffuse ses rapports, la première place est occupée par un ver de messagerie. Le leader absolu en 2008 est un cheval de téléchargement baptisé Iframe.sh, développé en JavaScript et qui exécute sur l'ordinateur du destinataire du message infecté un code spécial capable de lancer le téléchargement et l'exécution d'autres chevaux de Troie.

Le regroupement des programmes du Top 20 selon le comportement conduit aux statistiques suivantes :

Trojan-Downloader 39.66%
Backdoor 13.39%
Trojan-PSW 9.09%
Trojan-Spy 8.49%
Trojan-Clicker 8.02%
Trojan-Dropper 7.72%
Worm 3.96%
Exploit 1.96%
Trojan 1.62%
Email-Worm 1.45%

Ce tableau illustre les modifications radicales qui ont touché les programmes malveillants au cours de ces dernières années. Le comportement Email-Worm créé spécialement pour la diffusion par courrier électronique et figure dominante des années 2000 à 2005 se retrouve en dernière position en 2008 derrière des comportements tels que Trojan-Downloader, Backdoor ou d'autres chevaux de Troie.

Les cybercriminels ont déployé diverses astuces pour forcer les utilisateurs à ouvrir les pièces jointes contenant le programme malveillant. Certaines de ces méthodes sont particulièrement choquantes. Citons ainsi, dans le courrier anglophone, des messages indiquant que l'enfant du destinataire avait été kidnappé et qu'il devait payer une rançon importante. Pour voir la photo de la "victime de l'enlèvement", l'utilisateur devait ouvrir un fichier joint au message. Il s'agissait en réalité du programme malveillant Trojan-Downloader.Win32.Delf.bfc.

We have hijacked your baby Hey We have hijacked your baby but you must pay once to us $50 000. The details we will send later...
We has attached photo of your fume

Messages contenant des liens vers des pages infectées

Le mode de diffusion de programmes malveillants le plus répandu en 2008 fut l’utilisation de messages contenant des liens vers des pages infectées. Le courrier indésirable anglophone a présenté des exemples de messages envoyés prétendument par des chaînes d’informations de renom (par exemple, MSNBC ou CNN). Lorsque l’utilisateur voulait consulter les informations, un message signalant que la version du lecteur Flash installé était obsolète et qu’il fallait télécharger une version plus récente au format exe apparaissait. Au lieu du lecteur, c’était un cheval de Troie de téléchargement qui était téléchargé. Le programme malveillant était placé sur des sites compromis dans diverses zones de domaine.

msnbc.com: BREAKING NEWS: London named top literary destination

Find out more at http://breakingnews.msnbc.com
======================================================
See the top news of the day at MSNBC.com, and the latest from Today Show and NBC Nightly News.

=========================================
This e-mail is never sent unsolicited. You have received this MSNBC Breaking News Newsletter newsletter because you subscribed to it or, someone forwarded it to you.

To remove yourself from the list (or to add yourself to the list if this message was forwarded to you) simply go to

http://www.msnbc.msn.com/id/********, select unsubscribe, enter the email address receiving this message, and click the Go button.

Microsoft Corporation - One Microsoft Way - Redmond, WA 98052 MSN PRIVACY STATEMENT
http://privacy.msn.com

Les offres de téléchargement de logiciels ou d'antivirus gratuits figurent parmi les autres astuces employées pour attirer les utilisateurs vers les sites compromis. Dans ce cas, c'est une des nombreuses variantes de Trojan-PSW.Win32 qui était téléchargée sur l'ordinateur des victimes.

Les messages aux sujets intrigants ne contenaient que le lien vers le site. Pour consulter ces "informations", il ne fallait pas télécharger de programme particulier. Le programme malveillant était téléchargé dès l'ouverture de la page.

Trucs et astuces des diffuseurs de courrier indésirable

Courrier indésirable HTML

Alors que 2006 fut l'année du courrier indésirable graphique, que 2007 fut l'année des expériences avec les pièces jointes, 2008 fut l'année du courrier indésirable HTML. Les astuces employées par les diffuseurs de courrier indésirable n'étaient pas nouvelles mais le concept a été repensé afin d'exploiter les particularités du code HTML.

Parmi les méthodes utilisées, citons le brouillage du texte à l'aide de phrases aléatoires placées dans des balises invisibles pour l'utilisateur. La particularité de cette astuce est que les diffuseurs de courrier indésirable ajoutent des successions aléatoires à l'aide de balises HTML que la majorité des clients de messagerie considèrent comme auxiliaires et qu'ils ne montrent pas à l'utilisateur. Il s'agit de balises de commentaires, de couleurs, etc. Ainsi, l'utilisateur ne voit que le texte de la publicité qui ne constitue qu'une petite partie du message.

Les diffuseurs de courrier indésirable utilisent également des pseudo-balises pour brouiller les messages. Il s'agit de suites aléatoires de caractères semblables à des balises HTML. La majorité des clients de messagerie interprètent ces balises "incorrectes" comme des erreurs et ne les affichent pas à l'utilisateur.

Kaspersky Lab a également recensé une méthode baptisée "Mona Lisa". Cette méthode consiste à afficher les coordonnées sous la forme d'un dessin créé à l'aide de caractères. Avant, ces caractères étaient des lettres et des espaces. Aujourd'hui, les diffuseurs de courrier indésirable utilisent les cellules blanches et noires de tableaux HTML.

Le format du tableau a été adopté afin de "tronçonner" les mots clés dans le message et de tromper les filtres de cette manière :

Message HTML Message tel que le voit le destinataire
<table>
<tr>
<td align=right>VI</td>
<td align=left>AGRA</td>
</tr>
<tr>
<td align=right>CIA</td>
<td align=left>LIS</td>
</tr>
</table>
VI AGRA
CIA LIS

Outre les méthodes citées, les diffuseurs de courrier indésirable ont également exploité la particularité suivante du navigateur : les caractères à l'intérieur d'une URL peuvent être codés selon diverses méthodes (ASCII-16, ASCII-8, ASCII pour HTML, etc.). Le navigateur ouvrira le site sans problème si ce dernier apparaît sous la forme d'hyperlien dans le message, même si différents codes sont utilisés au sein d'une même URL ou si certaines erreurs sont commises.

Voici un exemple d'une écriture alternative de l'URL narod.ru :

%6e%61%72%6f%64%2e%72%75

Ou :

 narod.ru 

Le nombre de zéros peut être indéfini et n'importe quelle lettre peut être écrite "normalement". Le site s'ouvrira.

Publicité sur des sites d'hébergement gratuit

L'utilisation de services Internet gratuits accessibles à tout le monde est une autre astuce adoptée souvent pour la diffusion de messages non sollicités en 2008. Le lien dans le message mène vers une page de publicité non sollicitée (ou redirige l'utilisateur vers une telle page) située sur un site d'hébergement ou de blog connu. Cette démarche vise avant tout à contourner les filtres qui reposent sur des bases de réputation et compte sur le fait que les filtres ne vont pas bloquer des messages contenant des liens vers des services légitimes connus tels que Google Docs, Microsoft SkyDrive, Microsoft Livefilestore, etc.

Courrier indésirable et réseaux sociaux

Le développement en Russie des réseaux sociaux et des attaques de courrier indésirable qui les prennent pour cible permettent d'évoquer l'apparition d'un nouveau genre de courrier indésirable sur Internet : le contenu non sollicité qui vise les utilisateurs de réseaux sociaux. Ce contenu est diffusé via le courrier électronique ou directement au sein des réseaux sociaux.

En 2008, des messages émanant de prétendus administrateurs de réseaux sociaux ont été diffusés dans l'Internet russophone afin de pousser le destinataire à accéder à une page contenant le programme malveillant, à envoyer un SMS vers un numéro payant ou dans le but d'aider les auteurs d'attaques d'hameçonnage à obtenir les noms d'utilisateur et mots de passe.

Le contenu indésirable diffusé directement dans les réseaux sociaux poursuivait les mêmes objectifs.

Escroquerie via courrier indésirable à l'aide de SMS

L'escroquerie suivante a été très populaire en 2008 dans l'Internet russophone : sous divers prétextes, le destinataire du message était poussé à envoyer un SMS vers un numéro payant. Les cybercriminels qui louaient ces numéros gagnaient de l'argent grâce au tarif élevé pratiqué pour ces SMS.

Le fait qu'aucune licence ne soit requise pour la location de tels numéros en Russie constitue un facteur crucial dans le développement de ce genre d'escroquerie.

Sujets des messages non sollicités

 
Répartition des sujets du courrier indésirable
dans l'Internet russophone en 2008

Bien que les sujets du courrier indésirable restent relativement stables, nous avons vu apparaître une nouvelle rubrique et le leader du classement a également changé.

Au cours du deuxième semestre, la part de la rubrique "Autres biens et services" a reculé de 6,4 %. Cette rubrique est définie par les commandes passées auprès des diffuseurs de courrier indésirables par des entreprises de l'économie réelle.

Le mois de mars a vu l'apparition de publicités en russe pour des copies d'articles de luxe. Il faut s'attendre à ce que ce type de messages non sollicités trouve sa place dans le courrier indésirable russophone.

La part de courrier indésirable "pour adultes" a augmenté au cours du deuxième semestre de plus de 15 %. Un des moyens de gagner de l'argent à l'aide de ce genre de message est l'augmentation du trafic.

L'apparition de nouveaux sujets et les diffusions massives réalisées pendant de longues périodes indiquent que le secteur de la diffusion de courrier indésirable en Russie est entre les mains d'acteurs de taille qui disposent des outils nécessaires pour ce genre d'activité.

Evénements mondiaux et courrier indésirable

Les diffuseurs de courrier indésirable font souvent référence à des événements internationaux. Cette année, il a été question du championnat d'Europe de Football, de l'élection présidentielle aux Etats-Unis et de la crise économique mondiale.

La majorité des lettres traitant de la crise faisait la publicité de séminaire anticrise. Qui plus est, le sujet de la crise a été utilisé dans les publicités pour tout type de services ou de biens.

 

Les diffuseurs de courrier indésirable ont utilisé la campagne électorale américaine dans la publicité de biens et de services et pour la diffusion de programmes malveillants. Même des publicités pour le viagra présentaient des titres tels que "Obama didn't receive free pass" et "Barack Obama's Victory Speech". Des messages faisaient également de la publicité pour des souvenirs à l'image d'Obama, par exemple des assiettes :

 

Conclusion

La crise financière internationale qui touche pratiquement tous les secteurs économiques n'épargne pas les cybercriminels. Les sujets de courrier indésirable en rapport avec l'économie réelle perdent du terrain. Les diffuseurs de courrier indésirable utilisent de plus en plus souvent des technologies qui permettent de gagner de l'argent rapidement : escroquerie à l'aide de SMS, augmentation du trafic sur des sites pornographiques, etc.

La réduction de la part de courrier indésirable faisant la publicité de biens et de services traduit une réduction des commandes émanant de vraies entreprises. Le renforcement des attaques de courrier indésirable montre que les cybercriminels qui commencent à perdre de l'argent explorent de nouvelles sources de revenus.

Signalons que le courrier indésirable est un phénomène international et que les modifications dans sa structure peuvent servir d'indication sur l'état de l'économie. Si les rapports entre la structure du courrier indésirable et les processus macroéconomiques sont suffisamment bien exprimés, le courrier indésirable permettra peut-être de savoir que la crise sera terminée.

Pour l'instant, les utilisateurs ne doivent pas oublier que la crise sert de prétexte aux attaques d'hameçonnage qui visent les clients de banques et les utilisateurs de systèmes de paiement en ligne.

Les chercheurs de Kaspersky Lab estime le courrier indésirable ne va pas diminuer en 2009 et que le volume de courrier indésirable à caractère criminel va quant à lui augmenter. De plus, en temps de crise, les messages non sollicités sont parfois le seul type de publicité que peuvent s'offrir les entreprises.

En raison des incertitudes qui planent sur la situation économique internationale, ces pronostics concernent uniquement le premier semestre 2009. Kaspersky Lab poursuit ses observations.

Source:
Kaspersky Lab
Related links
Analysis
Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme
Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
Développement des menaces informatiques au premier trimestre 2012
Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com