Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
A propos des Hackers
Analyses
News
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul    
     
Analyses les Plus Populaires



Escroqueries sur les réseaux sociaux



Enfants et Internet : conseils pour leur sécurité



Courrier indésirable en avril 2014



Evolution des menaces informatiques au 1er trimestre 2014



"Ce site risque d'endommager votre ordinateur" Comment reconnaître et déjouer les infections de sites Internet
 
 

  Page d'accueil / Hackers / Analyses

Internet et ses dangers

25.10.2010   |   comments (1)

Eugene Aseev

Comment l'infection de l'ordinateur se produit-elle lors de la navigation sur Internetš? Comment les individus malintentionnés peuvent-ils gagner de l'argent sur le dos des utilisateursš? Cet article va tenter de répondre à ces questions.

Objectif

Au cours des dernières années, la menaces des infections via Internet a augmenté. Ceci s'explique, d'une part, par l'augmentation du nombre d'internautes et de sites et d'autre part, par l'appât du gain chez les individus malintentionnés. À l'heure actuelle, les attaques menées via Internet occupent la tête du classement, tant au niveau de la quantité que de la gravité des attaques. Il suffit de survoler les classements sur les programmes malveillants que nous publions chaque mois pour se rendre compte de la situation suivanteš: le nombre d'attaques sur Internet est énorme et ces attaques ne cessent de se perfectionner. Toutes les menaces les plus complexes de ces derniers temps (ZeuS, Sinowal et TDSS) se propagent précisément via Internet. Il en va de même pour les faux antivirus et les applications de blocage qui sont proposées à intervalle régulier aux utilisateurs. Internet a également été le vecteur choisi pour réaliser une attaque ciblée qui a fait beaucoup parler d'elle, à savoir l' «Opération Aurora». Et tout ceci n'est que la partie visible de l'iceberg.

L'individu malintentionné qui réalise une attaque via Internet cherche avant tout à charger et à installer un fichier exécutable malveillant sur l'ordinateur de la victime. Bien sûr, il existe des attaques telles que ou CSRF qui ne prévoient pas le téléchargement et l'installation de fichiers exécutables sur les ordinateurs des victimes. Mais l'individu malintentionné qui parvient à prendre les commandes du système infecté a accès à un large éventail de possibilitésš: si l'attaque réussit, il peut accéder aux données de l'utilisateur et aux ressources du système. D'une manière ou d'une autre, l'individu malintentionné peut gagner de l'argent sur le dos des utilisateurs.

Attaque

En général, une attaque se déroule en deux partiesš: passage de l'utilisateur sur la ressource infectée et téléchargement sur son ordinateur du fichier exécutable malveillant.

Les individus malveillants utilisent tous les canaux possibles et imaginables pour attirer les utilisateurs sur les ressources malveillantesš: courrier électronique, messagerie instantanée, réseaux sociaux, moteurs de recherche, publicités... bref, les liens malveillants peuvent se trouver n'importe où. Parfois, l'individu malintentionné n'a même pas besoin de réaliser des actions spéciales pour attirer l'utilisateur. Il lui suffit de compromettre un site légitime qui attirent beaucoup d'internautes. C'est d'ailleurs cette méthode que les individus malintentionnés semblent de plus en plus privilégier.

Une fois que l'utilisateur est arrivé sur une «šmauvaiseš» ressource, il ne reste plus qu'à télécharger le programme malveillant sur son ordinateur et à l'installer. À ce stade, l'individu malintentionné a le choix entre deux optionsš: amener l'utilisateur à réaliser cette opération lui-même ou organiser un téléchargement à la dérobée (drive-by). Le premier scénario fait intervenir les méthodes d' ingénierie sociale, à savoir des méthodes qui jouent sur la crédulité et l'inexpérience de l'utilisateur. Dans le deuxième cas, il s'agit d'exploiter une vulnérabilité dans une application installée sur l'ordinateur de la victime.

L'illustration suivante représente le type d'attaque via Internet qui prévoit le téléchargement et l'installation de fichiers malveillants.


Schéma d'une attaque via Internet impliquant le téléchargement d'un fichier malveillant exécutable

Examinons en détails comment l'utilisateur peut se retrouver sur un «šmauvaisš» site lors de son utilisation quotidienne d'Internet et infecter son ordinateur.

Courrier indésirable

Le courrier indésirable demeure la méthode préférée des individus malintentionnés pour attirer les utilisateurs sur les pages malveillantes. Le courrier indésirable qui exploite au maximum toutes les possibilités qu'offre l'Internet d'aujourd'hui.

Il y a seulement quelques années de cela, le terme «šcourrier indésirableš» désignait uniquement les messages publicitaires diffusés par courrier électronique. Aujourd'hui, les messages non sollicités sont diffusés par une multitude de canauxš: messagerie instantanée, réseaux sociaux, blogues, forums et même les SMS.

Parfois, le message non sollicité contient un fichier exécutable malveillant ou un lien vers une ressource malveillante. Les individus malintentionnés exploitent beaucoup l'ingénierie sociale pour amener l'utilisateur à cliquer sur le lien et/ou à télécharger et installer le fichier malveillantš: ils remplissent les messages de liens vers des informations d'actualité ou se dissimulent sous les traits de site ou de sociétés connus. En gros, les individus malintentionnés jouent sur les faiblesses humainesš: la peur, la curiosité et la frénésie. Nous n'allons pas nous attarder sur ceci car la majeure partie des exemples de diffusion de programmes malveillants à l'aide de cette méthode a déjà été publiée sur notre site.

Liens et bannières attrayant

Une autre méthode utilisée actuellement pour attirer les utilisateurs vers des ressources malveillantes est l'utilisation de bannières publicitaires ou de liens prometteurs. En général, ces méthodes sont utilisées pour les sites Web à caractère illégal qui diffusent des applications piratées ou du contenu pour adultes.

Prenons un exemple d'attaque de ce genre. Si au mois de mai 2010, vous aviez saisi dans la barre de recherche de Google la demande «štélécharger crack assassin's creed 2š», vous auriez vu dans la liste des résultats l'adresse d'un site quelconque qui, une fois ouvert, affichait une bannière flottante pour le site «šForex-Bazarš».

 
Bannière contextuelle sur un site proposant des applications sans licence

En cliquant sur la bannière pour tenter de la fermer, l'utilisateur ouvre une nouvelle fenêtre du navigateur présentant un site de vidéos pour adultes. Lorsque l'utilisateur clique sur l'image de n'importe quelle bande-annonce, un message indique qu'il faut installer une mise à jour d'Adobe Flash Player pour pouvoir regarder la vidéo.

 
Message affiché sur le site au moment d'essayer de regarder une vidéo pour adulte.

L'utilisateur clique sur le bouton «šTélécharger la mise à jourš», puis sur «šInstaller la mise à jourš» et une des versions les plus récentes de Trojan-Ransom.Win32.XBlocker est installée au lieu de la mise à jour annoncée. Cette application ouvre une nouvelle fenêtre qui apparaît devant toutes les autres et qui propose à l'utilisateur d'envoyer un SMS payant. Tant que l'utilisateur n'a pas envoyé ce SMS et reçu le code pour «šdésinstaller le module sur le champš», la fenêtre continue à le déranger.


Fenêtre qui s'ouvre après l'installation de Trojan-Ransom.Win32.XBlocker

[Ce programme n'est pas un virus. Il ne bloque pas le gestionnaire de tâches, ni aucune autre application sur votre ordinateur.

Si vous souhaitez désinstaller le module tout de suite, envoyez un SMS contenant le texte

4100845162839561

au numéro

3381

Saisissez le code que vous obtiendrez dans le champ ci-dessous

Pour connaître le coût du SMS, rendez-vous sur : smscost.ru

Règles : http://www.vsesuperporn.ru/service_-_tariffs/]

Référencement

Le référencement désigne l'ensemble de mesures complexes adoptées pour améliorer la position d'un site dans la liste des résultats de recherche proposées par un moteur de recherche suite à une requête particulière d'un utilisateur. Dans le monde d'aujourd'hui où les informations abondent, les moteurs de recherche constituent le principal outil pour obtenir l'information requise, par conséquent plus un site quelconque sera facile à trouver, plus les services qu'il propose seront utilisés.

Les techniques de référencement sont nombreuses et elles vont des méthodes légitimes aux méthodes interdites par les moteurs de recherche. Nous allons nous intéresser aux méthodes interdites, à savoir le Spamdexing référencement noir largement utilisé par les individus malintentionné pour promouvoir les ressources malveillantes.

Nous allons expliquer dans les grandes lignes comment les utilisateurs arrivent sur ces sites «šdopésš» et ce que font les individus malintentionnés pour obtenir de tels résultats.

Sur la base de mots clés définis manuellement ou obtenus automatiquement (par exemple, à l'aide de Google Trends), les individus malintentionnés créent des pages Web au contenu pertinent. Cette opération est généralement automatiséeš: des robots interrogent les moteurs de recherche et volent le contenu (par exemple, des extraits de texte) des pages qui occupent le haut du classement pour les résultats de la recherche.

Pour que la page Web créée de la sorte se retrouve dans le haut des résultats d'un moteur de recherche, il faut d'abord forcer le robot du moteur à l'indexer. La méthode la plus simple pour lancer le processus d'indexation et de commencer manuellement, par exemple, via la page Ajouter l'URL de votre site à Google qui permet d'ajouter son site à l'index du moteur de recherche. Pour accélérer la progression dans les résultats de recherche, le lien d'accès à la page peut être diffusé sur des sites déjà connus des moteurs de recherche, par exemple, des forums, des blogs ou des réseaux sociaux. Les liens vers la page cible depuis ces sites augmenteront son poids au moment de l'indexation. De plus, l'amélioration du classement du site peut être réalisée à l'aide de réseaux de zombiesš: les ordinateurs infectés sont utilisés pour réaliser des recherches sur les mots clés définis et le site requis est choisi dans les résultats.

Un script, capable d'identifier l'utilisateur à l'aide du traitement des en-têtes HTTP, est hébergé sur la page Web créée. S'il s'agit d'un robot, on lui montrera une page dont le contenu est pertinent pour certains mots clés. Par conséquent, la page progressera dans la liste des résultats proposés à l'utilisateur. S'il s'agit d'un utilisateur qui a trouvé la page à l'aide du moteur de recherche, il sera redirigé vers le site malveillant.

 
Schéma de composition et d'affichage des données lors du référencement noir

Les sites Web promus par des méthodes «šillicitesš» sont généralement supprimés des résultats par le moteur de recherche. C'est la raison pour laquelle les individus malintentionnés utilisent des outils pour automatiser la création et la promotion des sites, ce qui accélère le processus et augmente le nombre de nouveaux sites Web malveillants.

Les pages Web créées automatiquement peuvent être placées n'importe oùš: sur les ressources des individus malintentionnés, sur des ressources légitimes infectées, sur des sites d'hébergement gratuit ou sur des plateformes de blogue.

Exemple de dopage d'un site malveillant

Les modes d'infection décrits ci-dessus peuvent se concrétiser uniquement si l'utilisateur accepte de télécharger l'application. Dans la plupart des cas, un tel comportement sera le fruit du manque d'expérience ou d'attention. Les faiblesses de la nature humaine jouent un rôle important également. Par exemple, la fenêtre qui signale que l'ordinateur est infecté suscite la peur et l'utilisateur inexpérimenté cherche à cliquer le plus vite possible sur le bouton «šSupprimer toutes les menacesš». Tandis que la fenêtre qui propose de télécharger la «šmise à jour pour Adobe Flash Playerš» ou le «šcodec manquantš» n'éveille aucun soupçon car elle ressemble beaucoup à une fenêtre «šofficielleš» et il est déjà arrivé à plusieurs reprises que l'utilisateur clique sur «šTéléchargerš» en cas de mise à jour réelle.

Ressources légitimes infectées

L'autre méthode de diffusion des programmes malveillants à l'aide de téléchargements à la dérobée gagne en popularité. Lors d'une attaque par téléchargement à la dérobée, l'ordinateur est infecté à l'insu de l'utilisateur et sans son intervention. La majeure partie des attaques par téléchargement à la dérobée implique des ressources légitimes infectées.

L'infection de ressources légitimes est peut-être un des problèmes actuels les plus graves sur Internet. Les sites d'informations regorgent de titre du genre «Mass hack plants malware on thousands of webpages», «WordPress Security Issues Lead To Mass Hacking. Is Your BlogšNext?» ou «Lenovo Support Website Infects Visitors with Trojan». Kaspersky Lab découvre chaque jour des milliers de ressources infectées d'où un code malveillant est téléchargé sans que l'utilisateur ne s'en rende compte. C'est ce qu'on appelle une attaque par téléchargement à la dérobée et nous les avons présentées en détail dans l'article intitulé «Téléchargement à la dérobée. Internet pris d'assaut».

Dans les attaques par téléchargement à la dérobée, il n'est pas nécessaire de penser aux méthodes à déployer pour attirer l'utilisateur sur la page malveillante. Il y vient de lui-même pendant la navigation. Par exemple, le site que l'utilisateur visite chaque jour pour lire des informations ou acheter un article quelconque peut être infecté.

L'infection du site se déroule en général de deux manièresš: via une vulnérabilité sur la ressource cible (par exemple, injection de code SQL) ou grâce aux données d'accès confidentielles au site volées au préalable. L'infection la plus simple repose sur une balise cachée, ajoutée à la page source. La balise iframe contient le lien vers la ressource malveillante vers laquelle l'utilisateur sera redirigé automatiquement lorsqu'il visitera le site Web infecté.

La ressource malveillante contient un code d'exploitation ou un ensemble de codes d'exploitation qui, si l'utilisateur possède l'application vulnérable correspondante, s'activeront pour télécharger et exécuter le fichier exécutable malveillant.

Le schéma globale de l'attaque est illustré ci-après (sourceš: Google).


Schéma général d'une attaque par téléchargement à la dérobée

Sélections de codes d'exploitation

Penchons-nous en détail sur une des méthodes d'attaque par téléchargement à la dérobée les plus répandues aujourd'hui, à savoir celle qui repose sur l'utilisation d'une sélection de codes d'exploitation. Une sélection de codes d'exploitation est un ensemble d'applications qui exploitent les vulnérabilités d'une application légitime chez l'utilisateur. On pourrait dire que les codes d'exploitation ouvrent la porte de service via laquelle les programmes malveillants pourront pénétrer sur l'ordinateur. Sachant que l'attaque elle-même se déroule via un navigateur, l'individu malintentionné doit utiliser une vulnérabilité dans un navigateur ou dans un plug-in, voir dans une application auxiliaire téléchargée par le navigateur pour traiter le contenu. L'objectif final de la sélection de codes d'exploitation est de télécharger un fichier exécutable malveillant sur l'ordinateur de l'utilisateur à son insu et de l'exécuter.

Le schéma ci-après représente une sélection typique de plug-ins pour le navigateur Firefox. Les modules mis en évidence sont ceux dont des versions vulnérables ont déjà été utilisés dans le cadre d'attaques contre les utilisateurs. De plus, des vulnérabilités dans Firefox lui-même ont été découvertes et exploitées.

 
Sélection typique de plug-ins pour le navigateur Firefox

À l'heure actuelle, les sélections de codes d'exploitation sont ce qui se fait de mieux dans le domaine des attaques par téléchargement à la dérobée. Ils sont modifiés et actualisés fréquemment afin d'inclure les codes d'exploitation de nouvelles vulnérabilités et de mieux résister aux dispositifs de protection.

Les sélections de codes d'exploitation sont bien installés sur le marché des services cybercriminels. Il est possible de nos jours d'acheter sur le marché noir Internet une multitude de ces sélections qui se distinguent par le prix, la quantité de codes d'exploitation intégrés, la convivialité de l'interface d'administration et même la qualité du service à la clientèle. Outre les sélections de codes d'exploitation «šclés en mainsš» vendues, il est possible de commander une sélection pour répondre à des besoins particuliers.

Parmi les sélections sur commandes les plus répandues, nous retrouvons celles utilisées dans les attaques des célèbres téléchargeurs à script Gumblar et Pegel.

La dernière version de Gumblar se caractérise par l' automatisation du processus d'infection des sites Web et des ordinateurs dans le cadre duquel tous les outils de l'attaque (codes d'exploitation et fichier exécutable) sont hébergés sur des sites légitimes compromis. Quand il visite un site Web infecté, l'utilisateur est redirigé vers un autre site infecté, responsable de l'infection.

L'attaque de Gumblar utilise des vulnérabilités déjà connues dans Internet Explorer, Adobe Acrobat/Reader; Adobe Flash Payer et Java.

Pegel est lu-aussi placé sur des pages légitimes infectées, mais l'infection de l'ordinateur de l'utilisateur a lieu depuis des serveurs contrôlés par les individus malintentionnés. Grâce à cette méthode, ils peuvent remplacer plus facilement le fichier exécutable cible ou la sélection de codes d'exploitation utilisées. Ainsi, les individus malintentionnés ont ajouté à leur sélection le code d'exploitation de la vulnérabilité dans Java Deployment Toolkit pratiquement directement après la mise en circulation du code source de cette vulnérabilité.

Il convient également de citer le téléchargeur Twetti, très intéressant du point de vue technique, qui compose quelques requêtes pour l'API du réseau social Twitter. Les données obtenues permettent de générer un nom de domaine pseudo-aléatoire vers lequel l'utilisateur est redirigé. Les individus malintentionnés obtiennent le nom de domaine à l'aide du même algorithme, l'enregistrent et placent sur ce site les objets malveillants qui seront téléchargés sur les ordinateurs des victimes.

Exemple de sélection de codes d'exploitationš: Crimepack Exploit System

Argent

Qui gagne de l'argent à l'aide des attaques décrites et commentš?

Les attaques à l'aide de bannières publicitaires sont intéressantes pour les propriétaires des sites qui affichent les bannièresš: ils sont payés pour ce service. Les auteurs de Xblocker gagnent de l'argent chaque fois qu'il est téléchargé et installé et si l'utilisateur envoie un SMS payant. Et en général, l'utilisateur inexpérimenté enverra ce SMS.

Dans le cadre du référencement noir et des attaques à l'aide des sites «šdopésš» de cette manière, ceux qui ont créé le schéma de diffusion, ceux qui ont développé les outils pour l'automatisation des faux sites et ceux qui ont assuré la cohésion du projet gagnent de l'argent. Quand un faux logiciel est téléchargé et installé, l'organisateur de l'attaque peut compter obtenir de l'argent. Ici aussi, l'utilisateur inexpérimenté va accepter d'installer le «šlogiciel antivirusš» et de payer pour celui-ci. Dans ce cas ci, ce sont les développeurs des faux antivirus qui gagnent de l'argent.

Dans le cadre des attaques par téléchargement à la dérobée, les développeurs des sélections de codes d'exploitation et ceux qui les utilisent vont gagner de l'argent. Par exemple, la combinaison «šSélection de codes d'exploitation + ZeuS Toolkit» est efficace pour obtenir les données confidentielles des utilisateurs qui pourront ensuite être revendues au marché noir. Et grâces aux attaques régulières de Pegel, les individus malintentionnés ont réussi à créer un réseau de zombies composés d'ordinateurs infectés par Backdoor.Win32.Bredolab. Ce réseau peut être utilisé pour télécharger d'autres programmes malveillants sur les ordinateurs infectés.

Il est donc possible de gagner de l'argent sur le téléchargement d'un programme malveillantš? Bien sûr. Les revenus sont obtenus dans le cadre de programmes de partenariat ou plans PPI (Pay-Per-Install).

Partenariats

Les partenariats sont apparus il y a longtemps et au début, ils permettaient principalement de diffuser des logiciels publicitaires livrés avec des applications gratuitesš: en plus de l'application qui l'intéressait, l'utilisateur recevait en tant que bonus une application qui affichait des publicités. De nos jours, ces modèles sont surtout utilisés pour diffuser des programmes malveillants.

Le modèle PPI noire réunit les acteurs suivants (partenaires):

  • Les commanditaires, à savoir les cybercriminels qui disposent d'une certaine somme d'argent et d'une application malveillante qu'ils doivent diffuser.
  • Les exécutants, à savoir les personnes qui se chargent de la diffusion de cette application et qui sont payées pour le faire. Bien souvent, le partenaire ne cherche pas à savoir ce qu'il doit diffuser et il se transforme en complice des cybercriminels sans s'en douter (ce qui, bien entendu, n'est pas une excuse).
  • Ressource PPI, à savoir une organisation qui assure l'interface entre les commanditaires et les exécutants et qui reçoit une commission.

 
Schéma de fonctionnement d'un modèle PPI.

Outre les programmes de partenariat ouvert à tous par définition, il existe une multitude de partenariats fermés dans lesquels seuls les grands noms de la cybercriminalité sont admis, par exemple les propriétaires de réseaux de zombies. On ne peut qu'imaginer les sommes en jeu dans ces coopérations.

Il reste une questionš: qui est la source de revenu des individus malintentionnésš? La réponse est univoque et évidenteš: l'utilisateur. Il s'agit de l'argent de l'utilisateur, de ses données personnelles ou des capacités de son ordinateur.

Exemple de programme PPIš: InstallConverter

Conclusions

Bien entendu, les schémas décrits ne suffisent pas à présenter la diversités des mécanismes adoptés par les cybercriminels sur Internet mais ils couvrent les principaux.

L'Internet tel que nous le connaissons aujourd'hui n'est pas sans dangerš: il suffit de cliquer sur un lien dans les résultats d'une recherche ou de visiter son site favori, compromis peu de temps auparavant, pour transformer son ordinateur en nouveau membre d'un réseau de zombies. Le but principal des individus malintentionnés est d'obtenir l'argent de l'utilisateur ou ses données confidentielles qui, au bout du compte, lui permettront de dérober cet argent (de diverses manières). Par conséquent, les individus malintentionnés utilisent toutes les méthodes à leur disposition pour placer le programme malveillant sur l'ordinateur de la victime.

La seule manière de garantir la sécurité est de maintenir à jour en permanence les applications les plus souvent utilisées, surtout celles qui sont liées à un navigateur. Il est important également que l'ordinateur soit équipé d'une solution moderne de protection qui utilisent des bases d'actualité. Et globalement, il convient d'être extrêmement prudent vis-à-vis des informations externes obtenues via Internet.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com