Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
News
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr    
     
     
Les Analyses les Plus Populaires



Cybermenaces financières en 2013. 2e partie : programmes malveillants



BitGuard : un système de recherche forcée



Cyber-menaces financières en 2013. 1ère partie : phishing



Courrier indésirable en février 2014



Bulletin Kaspersky Lab – prévisions 2014
 
 

  Page d'accueil / Analyses

Aperçu de l'activité virale, février 2012

14.03.2012   |   comment

Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab
Denis Maslenikov
Yury Namestnikov
Dmitry Tarakanov

Le mois de février en chiffres

Voici le bilan mensuel de l'activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs :

  • 143 574 335 tentatives d'infection via Internet ont été bloquées ;
  • 298 807 610 programmes malveillants ont été détectés et neutralisés ;
  • 30 036 004 URL malveillantes ont été détectées ;
  • 261 830 529 attaques de réseau ont été déjouées.

Dernières nouvelles de DUQU

L'étude du programme malveillant Duqu est passée du stade de l'analyse sur le vif à une analyse détaillée et à l'étude des données récoltées. En janvier et en février 2012, les experts de Kaspersky Lab se sont surtout intéressés aux aspects techniques de l'existence de Duqu (systèmes de serveurs pour la collecte de données et organisation interne des modules du cheval de Troie).

Depuis la fin du mois de décembre de l'année dernière, nous n'avons plus détecté aucun signe de la présence de Duqu sur Internet. Nous avons appris que le 1er et le 2 décembre 2011, les auteurs du cheval de Troie ont réalisé un nouveau nettoyage des serveurs qu'ils utilisaient à travers le monde. Ils essayaient ainsi de rectifier des erreurs commises le 20 octobre, lors de la première vague de nettoyage des serveurs (nous en avions parlé dans la sixième partie de la série de billets consacrés à Duqu).

Nous pouvons donc tirer un bilan intermédiaire des dernières attaques.

Nous avons recensé une quinzaine d'incidents impliquant Duqu dont les victimes se trouvaient principalement en Iran. L'analyse de l'activité des organisations prises pour cible et du type d'informations recherchées par les auteurs de Duqu nous amène à conclure que le principal objectif de ces attaques était l'obtention de la moindre information sur les système de gestion de la production dans divers secteurs industriels iraniens ainsi que des informations sur les relations commerciales de diverses sociétés iraniennes.

Au cours de l'analyse du code de Duqu, les experts de Kaspersky Lab sont parvenus à la conclusion qu’outre l'utilisation d'une plateforme unique que nous avons baptisée Tilded, les auteurs de Duqu ont probablement utilisé leur propre framework développé dans un langage de programmation que nous ne connaissons pas. Nous avons évoqué ce programme unique dans un billet distinct.

Sur la base des données que nous avons obtenues, nous pouvons dire que les auteurs de Tilded ne vont pas mettre un terme à leurs travaux et nous allons être confrontés dans un avenir proche à de nouveaux programmes.

Attaques contre les particuliers :

Vulnérabilités dans le système de paiement Google Wallet

A l'automne 2011, la société Google a lancé la nouvelle technologie Google Wallet qui permet de payer des biens et des services à l'aide d'un smartphone sous Android avec le module NFC (Near Field Communication, technologie de communication sans contact). L'application spéciale Google Wallet est installée sur le smartphone et la carte de crédit à utiliser est désignée. Pour réaliser les paiements, le propriétaire du smartphone doit saisir le code PIN dans Google Wallet et approcher le téléphone de la caisse. Le téléphone transmet alors sous forme cryptée les données pour réaliser la transaction.

Lorsque Google a annoncé le nouveau service, les experts en sécurité ont émis quelques doutes quant à la sécurité en cas de perte ou de vol du téléphone, à savoir lorsque le smartphone avec Google Wallet est utilisé par quelqu'un d'autre. Et voici qu'au début du mois de février, deux méthodes d'attaques contre le porte-monnaie de Google qui peuvent être utilisées dans ces situations ont été détectées.

Tout d'abord, Joshua Rubin, ingénieur chez zVelo, a découvert comment une personne qui obtenait l'accès au téléphone pouvait deviner le code PIN. Les données relatives au compte en banque sont conservées dans une section spéciale sécurisée (Secure Element) de la puce NFC mais le cache du code PIN quant à lui se trouve dans le système de fichiers du téléphone. Pour pouvoir lire ce cache, il faut un accès root qu'il est possible d'obtenir à l'aide de diverses méthodes connues des pirates. Vu que le code PIN n'est qu'un nombre à quatre chiffres, l'individu malintentionné peut facilement trouver la bonne combinaison à l'aide de la force brute. Une fois qu'il détient ce code, il peut payer ses achats à l'aide du compte Google Wallet du propriétaire légitime du téléphone.

Au lendemain de la découverte de cette vulnérabilité, une autre méthode permettant à un tiers d'accéder au porte-monnaie Google sur un téléphone volé ou perdu fut dévoilée. Et dans ce cas ci, il n'est même pas nécessaire d'obtenir un accès root. C'est une vulnérabilité dans l'application Google Wallet elle-même qui est exploitée. Si vous accédez aux préférences de l'application et que vous supprimez toutes les données en rapport avec Google Wallet, il faudra définir un nouveau code PIN lors du prochain lancement de l'application et ce, sans devoir saisir l'ancien

Ces vulnérabilités furent immédiatement signalées par Google qui décida de suspendre pendant quelques jours la technologie Google Wallet jusqu'à ce que les menaces identifiées aient été supprimées. Plus tard, Google a annoncé que les vulnérabilités avaient été supprimées et elle a relancé le service mais au début du mois de mars, aucune information sur la correction de la vulnérabilité permettant d'utiliser la force brute pour deviner le bon code PIN n'avait été diffusée. Pour empêcher l'accès au cache du code PIN, il faut le conserver dans la section sécurisée de la puce NFC, comme les autres données critiques relatives au compte en banque/à la carte de crédit. C'est ici que des questions d'ordre juridique se posent : dans ce cas, la responsabilité de la conservation du code PIN passe de Google aux banques, responsables de la section sécurisée (Secure Element).

Faux codes de Google Analytics

Les individus malintentionnés compromettent de plus en plus souvent des sites pour diffuser des programmes malveillants. Le code malveillant est inséré dans le code des pages des sites Internet compromis. Pour dissimuler les modifications le plus longtemps possible aux yeux des propriétaires des sites, les individus malintentionnés emploient toutes les astuces possibles. Au début du mois de février, nous avons détecté une vague d'infections dans le cadre desquelles le code malveillant intégré était dissimulé sous les traits de code du service de statistiques de Google (Google Analytics).

Le faux code possède plusieurs éléments caractéristiques :

  1. Au lieu de l'adresse d'origine google-analytics.com, le code malveillant utilise une adresse avec deux tirets : google--analytics.com.
  2. Dans le code d'origine, l'identificateur de compte est une ligne unique composée de chiffres (par exemple, UA-5902056-8) et désigne le site pour le service de statistiques. Dans le code malveillant, la ligne unique est remplacée par UA-XXXXX-X.
  3. Le code inséré par les individus malintentionnés est placé au tout début du code de la page, avant même la balise , alors que d'habitude les développeurs ajoutent en général le code d'origine de Google Analytics à la fin de la page.

Quand ce code est exécuté, le navigateur de l'utilisateur télécharge depuis l'adresse google--analytics.com des individus malintentionnés le javascript obfusqué « ga.js » et le visiteur du site compromis est renvoyé, après quelques redirections, vers un serveur hébergeant l'ensemble de codes d'exploitation BlackHole. Si ce code d'exploitation est exécuté, l'ordinateur de l'utilisateur est infecté par un programme malveillant.

Pour l'instant, le site google--analytics.com ne fonctionne plus. Mais nous retrouvons toujours dans certaines ressources Internet compromises le faux code de Google Analytics qui est déjà (ou si vous préférez, pour l'instant) inoffensif.

Menaces sur les appareils nomades

Les derniers événements enregistrés dans le monde des menaces pour les appareils nomades démontrent qu'en 2012, les réseaux de zombies d'appareils nomades seront le principal problème des utilisateurs de smartphone et des éditeurs de logiciels antivirus.

Réseau de zombies d'appareils nomades RootSmart

En un laps de temps assez court, les auteurs de virus chinois ont réussi à créer un réseau de zombies contenant un nombre d'appareils actifs oscillant entre 10 000 et 30 000, tandis que le nombre total d'appareils infectés tout au long de l'existence de ce réseau de zombies se compte en centaines de milliers. Selon le classement de Kaspersky Lab, ces bots appartiennent à la famille Backdoor.AndroidOS.RootSmart. Tous les appareils infectés qui appartiennent au réseau de zombies RootSmart peuvent accepter et exécuter à distance des instructions envoyées par le serveur de contrôle.

Une telle quantité d'appareils infectés évoque les réseaux de zombies d'ordinateurs tournant sous Windows. Tout indique que l'équivalence de taille entre les réseaux de zombies traditionnels et ceux d'appareils nomades est une réalité. La différence se situe au niveau de la rentabilité. Alors que dans le cadre des réseaux de zombies traditionnels, l'argent est obtenu grâce à l'organisation d'attaques DDoS ou grâce à la diffusion de courrier indésirable, les réseaux de zombies d'appareils nomades se prêtent moins bien à ce genre d'activité.

Les individus malintentionnés qui commandent le réseau de zombies RootSmart ont opté pour la méthode traditionnelle et la plus rentable pour gagner de l'argent : les SMS envoyés à des numéros surfacturés. Les personnes qui contrôlent le réseau de zombies peuvent définir la fréquence d'envoi de ces SMS payants (une, deux, trois fois par semaine, etc.), le nombre de jours pendant lequel l'envoi aura lieu et les numéros surfacturés auxquels les SMS seront envoyés. Vu que les individus malintentionnés contrôlent complètement les appareils infectés, ils peuvent agir de sorte que le propriétaire de l'appareil ne se doute de rien (par exemple, en utilisant les numéros surfacturés les moins chers) et contrôle la rentabilité du réseau de zombies. A la différence des chevaux de Troie par SMS traditionnels, cette méthode permet d'obtenir un revenu stable non négligeable pendant une longue période.

Arrestation des auteurs de Foncy

En janvier 2012, nous avons découvert ce qui est peut-être à ce jour l'exemple le plus frappant d'application malveillante qui permet aux individus malintentionnés de contrôler à distance l'appareil infecté grâce à l'envoi de diverses instructions. Il s'agit de Backdoor.Linux.Foncy.a.

La porte dérobée est installée dans le système à l'aide d'un dropper APK avec un code d'exploitation root (Exploit.Linux.Lotoor.ac) et un cheval de Troie par SMS (Trojan-SMS.AndroidOS.Foncy.a). Pour rappel, la découverte du cheval de Troie par SMS Foncy remonte à novembre 2011.

Le mois de février s'est terminé sur une bonne nouvelle : deux personnes ont été arrêtées à Paris, soupçonnées d'avoir infecté plus de 2 000 appareils Android à l'aide de programmes malveillants de la famille Foncy. C'est la première fois que des auteurs d'un programme malveillant pour appareils nomades sont arrêtés. Et seulement 3 mois se sont écoulés entre les premières informations publiques sur Foncy et les arrestations. Il ne reste plus qu'à espérer que le processus sera mené à bout et que nous entendrons bientôt parler de la première condamnation d'auteurs de programmes malveillants pour appareils nomades. D'après les autorités, les individus malintentionnés ont causé des dommages pour un montant de 100 000 euros.

Attaques contre les réseaux des entreprises et des grandes organisations

Les attaques des hacktivistes membres du groupe Anonymous contre les sites Internet à caractère financier et politique se sont poursuivies en février.

Les sites victimes de ces attaques ont été ceux des sociétés américaines Combined Systems Inc. (CSI) et Sur-Tec Inc. Ces sociétés sont accusées d'avoir livré dans certains pays du matériel de surveillance, ainsi que du gaz lacrymogène et d'autres moyens de répression. Ainsi, CSI est accusée d'avoir livré de telles technologies en Egypte lors de la révolution qui a conduit au renversement du président Moubarak ainsi qu'en Israël, au Guatemala et dans certains autres pays. Les pirates ont réussi à voler la correspondance interne de la société, la liste des clients et une série de documents internes qui ont tous ensuite été publié sur le site pastebin.com.

Toute une série de sites dépendant de la Commission fédérale du commerce des Etats-Unis a également été attaquée. Cette action s'inscrivait dans le cadre de la lutte d'Anonymous contre l'ACAC (accord commercial anti-contrefaçon). Des vidéos de protestation contre l'adoption de cet accord ont été diffusées sur les sites compromis. Les hacktivistes ont également dérobé les données d'identification d'utilisateurs de ces ressources qu'ils ont publiées sur pastebin.com.

Ces attaques ont été revendiquées par le même groupe qui avait organisé en janvier une série d'attaques DDoS en guise de protestation contre la fermeture du site Megaupload.com. A l'époque, les auteurs avaient mis hors service les sites du ministère de la Justice des Etats-Unis, ainsi que les sites d'Universal Music, de la Recording Industry Association of America et de la MPAA.

Un autre groupe d'Anonymous (LONGwave99) a quant à lui attaqués des institutions financières américaines. Le 14 et le 15 février, il a réussi, grâce à des attaques DDoS, a mettre hors service pendant quelques heures les sites du NASDAQ, BATS, Chicago Board Options Exchange (CBOE) et du Miami Stock Exchange. Les attaques, baptisées « Operation Digital Tornado », n'ont eu aucun effet sur les systèmes de transactions selon les porte-paroles des bourses.

L'enquête sur les actions des hacktivistes se poursuit. A la fin du mois de février, une opération conjointe d'Interpol et des autorités judiciaires d'Argentine, du Chili, de Colombie et d'Espagne a permis d'arrêter 25 personnes soupçonnées d'avoir participé à diverses attaques. En représailles à cette opération, Anonymous a organisé une attaque DDoS contre le site d'Interpol qui fut mis hors ligne pendant quelques heures.

En Russie, les attaques DDoS et les sites compromis sont devenus également des outils de la lutte politique dans le cadre de la campagne pour les élections présidentielles. Les sites d'informations ainsi que des ressources de l'opposition et des autorités au pouvoir ont fait l'objet d'attaques à motivation politique. Il est intéressant de constater que toutes les attaques enregistrées par Kaspersky Lab utilisaient alternativement plusieurs réseaux de zombies d'un type (Ruskill). Dans l'ensemble, nous avons recensé 8 centres de commande de réseau de zombies dans divers pays, sous diverses plateformes chez divers hébergeurs. Mais il est plus que probable que tous ces centres de commande soient gérés par les mêmes personnes.

Dans de nombreux cas, les réseaux de zombies qui interviennent dans les attaques politiques avaient été utilisés auparavant dans des attaques DDoS purement commerciales contre des magasins en ligne, des banques, des forums particuliers et des blogs personnels. Ces réseaux de zombies ont également participé aux attaques DDoS politiques sur une base commerciale et leurs propriétaires ne sont que des mercenaires prêts à attaquer n'importe quoi pour de l'argent.

Classement de février

Ces statistiques reposent sur les verdicts détectés de l'Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.

TOP 10 des programmes malveillants sur Internet

Détections de l'Antivirus Internet % de l'ensemble des attaques Progression dans le classement
1 Malicious URL 91,26% 0
2 Trojan.Script.Iframer 5,81% 0
3 Trojan.Script.Generic 2,15% 0
4 Trojan-Downloader.Script.Generic 0,95% 2
5 Trojan.Win32.Generic 0,47% -2
6 Trojan-Downloader.JS.Agent.gmr 0,43% Nouveau !
7 Trojan-Spy.JS.Agent.c 0,37% -2
8 Trojan-Downloader.Win32.Agent.gyai 0,35% 1
9 Trojan.JS.Redirector.ue 0,31% Nouveau !
10 Trojan.JS.Popupper.aw 0,30% -1

Top 10 des pays dont les ressources hébergent les programmes malveillants :

Pays* % de l'ensemble des attaques
1 Pays-Bas 22,49%
2 États-Unis 20,97%
3 Russie 16,82%
4 Allemagne 10,09%
5 Ukraine 4,57%
6 Royaume-Uni 4,43%
7 Îles vierges britanniques 1,89%
8 France 1,79%
9 Chine 1,45%
10 Canada 1,10%

* Pour définir la source géographique de l'attaque, nous employons une technique de comparaison du nom de domaine et de l'adresse IP authentique sur laquelle se trouve ce domaine et la définition de l'emplacement géographique de cette adresse IP (GEOIP).

Top 10 des domaines où l'on retrouve les programmes malveillants

Domaine Nombre d'attaques*
1 ru 48 523 586
2 com 46 111 931
3 info 15 454 153
4 net 10 140 453
5 org 5 326 917
6 in 4 724 839
7 pl 1 465 601
8 me 1 100 728
9 eu 704 525
10 biz 637 536

** Total des attaques détectées par l'Antivirus Internet depuis les ressources Internet appartenant à ce domaine

Top 10 des pays dont les internautes ont été le plus exposés au risque d'infection via Internet

Pays %* Progression
1 Russie 53,75% 0
2 Côte d'Ivoire 49,25% Nouveau !
3 Arménie 45,47% -1
4 Kazakhstan 44,99% 1
5 Bélarus 43,89% 1
6 Azerbaïdjan 43,08% -2
7 Ukraine 41,93% 0
8 Moldau, République de 38,16% 2
9 Bangladesh 35,70% Nouveau !
10 Ouzbékistan 35,37% -2

Pour les calculs, nous avons exclus les pays où le nombre d'utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
*Pourcentage d'utilisateurs uniques sur les ordinateurs desquels des menaces Internet ont été bloquées, par rapport à l'ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Top 10 des pays dont les internautes sont le moins exposés au risque d'infection via Internet

Pays %* Progression
1 Taiwan 8,22% 6
2 Japon 8,23% 2
3 Bénin 9,21% -2
4 Luxembourg 10,13% 2
5 Mozambique 10,15% 3
6 Hong Kong (district administratif spécial, République populaire de Chine) 10,35% Nouveau !
7 Macau (district administratif spécial, République populaire de Chine) 10,68% 2
8 Danemark 11,01% -4
9 Nouvelle-Zélande 11,23% Nouveau !
10 Afrique du Sud 12,04% Nouveau !

Pour les calculs, nous avons exclus les pays où le nombre d'utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
*Pourcentage d'utilisateurs uniques sur les ordinateurs desquels des menaces Internet ont été bloquées, par rapport à l'ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Source:
Kaspersky Lab
Related links
Analysis
Statistiques mensuelles sur les programmes malveillants : avril 2012
Aperçu de l'activité virale, mars 2012
Aperçu de l'activité virale, novembre 2011
Aperçu de l'activité virale, octobre 2011
Aperçu de l'activité virale en juin 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com