2.10.2009   |   comment

Maria Namestnikova

• Part du courrier indésirable dans le trafic de messagerie
• Applications et liens malveillants
• Hameçonnage
• Pays d'origine du courrier indésirable
• Sujets des messages non sollicités
• Trucs et astuces des diffuseurs de courrier indésirable
• Conclusion

Particularités du mois

• Par rapport à juillet, la part du courrier indésirable dans le trafic de messagerie a baissé de 0,6 % pour atteindre une moyenne de 85,1 %.
• Les liens vers des sites d'hameçonnage figuraient dans 1,09 % de l'ensemble des messages électroniques, soit une augmentation de 0,06 %.
• 0,05 % des messages électroniques contenaient des fichiers malveillants, en recul de 0,06 %.
• Les fiancées « russes » cherchent toujours à séduire les internautes.
• Pour contourner les filtres, les diffuseurs de courrier indésirable envoient des liens vers leurs sites sous la forme d'un tableau HTML contenant des cases de différentes couleurs.

Part du courrier indésirable dans le trafic de messagerie

La part des messages non sollicités a représenté en moyenne près de 85,1% du volume du courrier au mois d'août 2009. Le volume le plus faible du mois a été enregistré le 1er août (76,3 %). C’est en revanche le 16 août que les internautes russophones ont reçu le plus de courrier indésirable (90,8 %).

Part du courrier indésirable dans l'Internet russophone en août 2009

Applications et liens malveillants

0,05 % des messages électroniques contenaient des fichiers malveillants, soit 2 fois moins (-0.06%) qu'au mois dernier.

 

Applications malveillantes présentes dans les messages non sollicités en août 2009

L'épidémie NetSky se poursuit : près de la moitié des applications malveillantes figurant dans le Top 10 des applications les plus diffusées dans le courrier indésirable appartiennent à cette famille de vers. Selon la description fournie sur Securelist.com Email-Worm.Win32.NetSky est un virus-ver qui se propage via Internet sous la forme d'une pièce jointe dans les messages infectés. Il envoie sa copie à toutes les adresses électroniques relevées sur l'ordinateur infecté. Le ver s'active si l'utilisateur lance lui-même le fichier infecté (en double-cliquant sur la pièce jointe). Ensuite, le ver s'installe dans le système et déclenche la procédure de diffusion.

Globalement, la part des vers de la famille NetSky contenus dans les messages non sollicités infectés a représenté plus de 33 % en août 2009.

La famille Bredolab occupe la deuxième place. Backdoor.Win32.Bredolab est un cheval de Troie de type porte dérobée. Il se diffuse sous la forme d'une pièce jointe à un message. Pour ne pas éveiller les soupçons, il possède une icône d'un fichier Microsoft Excel même si son extension est .exe. Dans la mesure où la majorité absolue des utilisateurs n'affiche pas l'extension des fichiers connus, cette astuce est particulièrement efficace. Au terme de l'exécution du cheval de Troie, l'ordinateur est intégré à un réseau de zombies. Après avoir demandé les données au centre de commande, l'application malveillante télécharge sur Internet des modules complémentaires qui sont des logiciels antivirus factices qui trouvent des centaines d'applications malveillantes inexistantes et qui exigent un paiement pour la réparation ou des logiciels espion qui volent les mots de passe de l'utilisateur. Ce modus operandi n'est pas sans rappeler Net-Worm.Win32.Kido qui installait d'une manière tout à fait semblable le réseau de zombies pour courrier indésirable Iksmas et un logiciel antivirus factice.

La part de messages infectés contenant des applications malveillantes de la famille Bredolab dépassait 32 % en août 2009.

Un des vers de la famille MyTob occupe la deuxième place du classement. Au mois d'août, la part de messages infectés contenant cette application malveillante représentait 12,53 %. L'épidémie de MyTob, à l'instar de l'épidémie NetSky, n'en est pas à sa première année d'effervescence. Le virus de la famille MyTob est un virus-ver qui infecte les ordinateurs tournant sous Microsoft Windows. Le virus se propage en exploitant les vulnérabilités Microsoft Windows LSASS (MS04-011) et Microsoft Windows DCOM RPC (MS03-026) ainsi que via Internet sous la forme de pièce jointe dans des messages infectés. Il envoie sa copie à toutes les adresses électroniques relevées sur l'ordinateur infecté. Le ver contient une fonction de porte dérobée qui reçoit des instructions via les canaux IRC (Internet Relay Chat).

Les diffuseurs de courrier indésirable recourent aux anciennes astuces pour diffuser les applications malveillantes : l'envoi de cartes postales électroniques fictives. La carte se trouvait dans une pièce jointe avec un nom comme "quelque chose ici.card.zip". Il s'agissait en fait d'une application de la famille Trojan-Spy.Win32.Zbot, une famille développée pour le vol des données de l'utilisateur ou, dans certains cas, de backdoor.irc.zapchast.zwrc, une porte dérobée administrant l'ordinateur via IRC à l'aide de l'application mIRC. Le plus souvent, ce sont ces 2 vers que l'utilisateur recevait sous la forme d'une telle "carte postale".

La porte dérobée citée circulait également dans un message dédié à la mémoire de Michael Jackson :

L'utilisateur intéressé par le lien était invité à télécharger un fichier au format .exe qui contenait la porte dérobée.

Les experts de Kaspersky Lab ont également identifié de nombreuses cartes postales en espagnol de la célèbre marque Hallmark qui contenaient des liens masqués vers des domaines suspects. Les utilisateurs les plus attentifs pouvaient déjouer le piège en passant le curseur sur un de ces liens. Malheureusement, au moment de la découverte des messages, les liens ne menaient que vers des pages vides.

Hameçonnage

Les liens vers des sites d'hameçonnage figuraient dans 1,09 % de l'ensemble des messages électroniques, soit une augmentation de 0,06 % par rapport à juillet. En août, les sites Internet de PayPal et eBay, tant appréciés des auteurs d'hameçonnage, qui n'avaient jamais quitté les premières places du classement établi par les chercheurs de Kaspersky Lab ont enfin commencé à céder du terrain. La part d'attaques contre PayPal, le leader depuis le début de l'année, a considérablement diminué (-21,54 %) pour atteindre seulement 18,65 %. Le site de ventes aux enchères eBay a été 3 fois moins attaqué en août qu'en juillet. La part des attaques atteignait 10,05 % (-19,96 %). La banque CHASE (30,60%) a décroché, avec surprise, la première position alors que le mois dernier, elle ne figurait même pas dans le top 10 des organisations les plus souvent attaquées. Cette situation avait déjà été observée en décembre 2008 lorsque la banque CHASE fit une irruption en première position après avoir passé beaucoup de temps en dehors du Top 10. A l'époque, la part d'attaques d'hameçonnage contre cette banque atteignait 55,9 % ! Bank of America a progressé d'une position par rapport à juillet mais la part d'attaques dont elle a été victime a augmenté sensiblement pour atteindre 19,45 % contre 3,18 % en juillet.

 

Organisations soumises aux attaques d'hameçonnage en août 2009

Dans un des messages d'hameçonnage ciblant les utilisateurs de PayPal, les cybercriminels ont faussé l'adresse de l'administration du portail en remplaçant la lettre "l" dans Pal par le chiffre "1". Ainsi, l'adresse factice ressemblait pratiquement en tout point à l'originale : service@PayPa1.com.

Ainsi, les clients de Citibank étaient invités à saisir leurs données personnelles sur le site de l'Eglise protestante libre qui avait été compromis.

L'augmentation du nombre d'hameçonnage a été particulièrement sensible à la fin du mois d'août. Au cours de la dernière semaine, le pourcentage de messages appartenant à la catégorie "Escroquerie informatique" a augmenté de 4,6 %.

Pays d'origine du courrier indésirable

 

Pays d'origine du courrier indésirable

De sérieux changements ont eu lieu dans le classement des pays sources du courrier indésirable. En première place, on retrouve le Brésil (11,8 %), ce qui s'explique non seulement par l'augmentation du volume de courrier indésirable diffusé depuis ce pays (augmentation de seulement 3,3 %) mais également par le recul marqué de la part des E-U (-21,33 % par rapport à juillet). La deuxième place est occupée par la Pologne avec 8% du courrier indésirable mondial (+5,5 % par rapport à juillet). 3 pays d'Asie ferme le Top 5 : le Vietnam (6,83 %), l'Inde (6,55%) et la Corée (5,52 %). Ces pays "améliorent" leur résultat en matière de diffusion du courrier indésirable et éjectent la Russie et la Chine du Top 5. La Chine, qui occupait la troisième position en juillet, a perdu 2 % et se retrouve en 9e position. La France ne figurait pas dans le Top 20 des pays d'origine du courrier indésirable mais bien à la 22ème place. Le courrier indésirable diffusé depuis ce pays représentait 1,27 % du flux de courrier indésirable.

Sujets des messages non sollicités

 

Répartition des sujets du courrier indésirable dans l'Internet russophone en août 2009

Top 5 des sujets du courrier indésirable en juillet :

1. Formation : 14.29% (-0.3%)
2. Médicaments, biens/services pour la santé : 13,77% (-11,53%)
3. Copies d'articles de luxe : 10,38% (+3,58%)
4. Publicités pour des services de diffusion de courrier indésirable : 9,89% (-5,51%)
5. Vacances et voyages : 8,96 % (+5.66%)

Il faut souligner également la progression de la catégorie "Escroquerie informatique" qui ne fait pas partie du Top 5. Par rapport au mois dernier, la part des messages d'escroquerie dans le courrier indésirable a pratiquement doublé et elle atteignait 7,5 % en août (+3,4 %).

Ce mois-ci, les diffuseurs de courrier non-sollicité ont largement exploité le nom du défunt roi de la pop Michael Jackson, plus seulement pour diffuser des virus. En cliquant, par exemple, sur une photo de son idole reçue dans un message avec l'en-tête "Michael Jackson dead ? NO!!!» («Michael Jackson est mort ? NON !!!"), l'utilisateur se retrouvait sur une page faisant de la publicité pour du viagra.

Malgré l'amélioration continue de la situation économique, le courrier indésirable en France continuait, au mois d'août, à proposer des solutions "anticrise", d'offres d'emploi et de crédits. Voici un exemple de ce genre de message :

La part de publicité pour les diffuseurs de courrier non sollicité dans l'Internet russophone a sensiblement diminué (-5,5%) par rapport aux 2 mois précédents. Il est clair que cela est du à l'activation des commanditaires de courrier non sollicité. Les diffuseurs de courrier non sollicité, à l'approche du mois de septembre, ne doivent plus réaliser une publicité active de leur service, comme c'était le cas en pleine crise et lors du ralentissement estival. Et bien que le niveau des publicités pour les services de diffusion de messages non sollicité reste élevé, les diffuseurs ne se donnent plus beaucoup de peine et se contentent d'utiliser d'anciennes astuces.

S'agissant des diffusions en Europe de l'Ouest, la situation est toute autre. Les envois de publicités pour les services de diffusion de courrier non sollicité proposant diverses bases d'adresses ont augmenté. Ce fait est remarquable non seulement par rapport à la tendance russe mais également parce que le courrier non sollicité de ce genre était rare en Europe. Voici un exemple de ce genre de publicité :

A l'instar du mois précédent, le nombre de messages pour des services de rencontre était considérable. Ces messages se caractérisent par la présence d'un texte en trois langues (anglais, allemand et français) afin que le destinataire comprenne tout. Précisons que la jeune Alissa n'indique pas le pays d'Europe dans lequel elle aimerait bien se rendre...

Trucs et astuces des diffuseurs de courrier indésirable

Ce mois-ci, les diffuseurs de messages non sollicités ont de nouveau utilisé un ancien truc : une adresse électronique "dessinée" avec des cellules coloriées d'un tableau HTML. Il semblerait que pendant que nous oublions ces messages avec de telles mosaïques, les diffuseurs de courrier indésirable ont perfectionné l'art de la mise en couleur de cellules. Les messages difficiles à lire se sont transformés en illustrations de qualité.

Le principal inconvénient de cette astuce est le fait que de nombreux utilisateurs préfèrent le format texte traditionnel, dans lequel le dessin n'est pas visible, au format HTML. Qui plus est, ce genre de message n'est pas fait pour les destinataires paresseux : l'adresse, écrite à l'aide du tableau HTML, n'est pas cliquable et l'utilisateur doit la saisir lui-même dans la barre d'adresse du navigateur. Et en général, même les utilisateurs les plus curieux et les plus imprudents n'agissent pas ainsi.

Conclusion

Le mois d'août n'a pas été riche en événements retentissants que les diffuseurs de courrier non sollicité auraient pu utiliser dans l'objet de leurs nombreux messages. C'est la raison pour laquelle ils ont utilisé un événement qui appartient déjà à l'histoire : la mort de Michael Jackson.

Les escrocs en ligne ont repris leurs activités au mois d'août. L'augmentation sensible du nombre de messages de phishing et des escroqueries nigériennes va se traduire par une augmentation du nombre de victimes de ce genre d'escroquerie.

Sur ce fond de regain d'activités des cybercriminels, il faut respecter des règles minimales de sécurité : ne pas envoyer ses données personnelles ou les mots de passe d'accès à des comptes en réponse à des messages provenant d'adresses douteuses ou inconnues, ne pas télécharger d'application et ne pas cliquer sur les liens contenus dans les messages non sollicités. Et bien entendu, il faut également toujours garder le logiciel antivirus activé et à jour.