Kaspersky Lab

 

Analyse

12.11.2012

Courrier indésirable au troisième trimestre 2012

Daria Gubkova - Maria Namestnikova

Sommaire Chiffres du trimestre 1 Particularités de la période : thèmes politiques et religieux du courrier indésirable 1 Nouveaux espaces publicitaires : avantages et inconvénients 5 Réduction de la part de courrier indésirable 5 "Zones d'ombre" dans les diffusions 6 Faux messages de services d'achat de groupes à caractère malveillant 7 Diffusions malveillantes : l'ère de la diversité 9 Statistiques 11 Pièces jointes malveillantes dans le courrier 11 Répartition des déclenchements de l'Antivirus Courrier par pays 12 TOP 10 des programmes malveillants diffusés par courrier 13 Taille des messages non sollicités 14 Répartition des sources de courrier indésirable par pays et région 15 Phishing 17 Conclusion et pronostics 18

Chiffres du trimestre

·         La part de courrier indésirable au troisième trimestre a reculé de 2,8 % pour atteindre 71,5 %.

·         La part de messages contenant des pièces jointes malveillantes a augmenté de 0,9% et a représenté 3,9 % du trafic.

·         27 % des attaques de phishing touchent les réseaux sociaux.

·         26;7 % de l'ensemble du courrier indésirable provient des Etats-Unis.

Particularités de la période : thèmes politiques et religieux du courrier indésirable

Le président américain Barack Obama aura été la personnalité la plus populaire dans le courrier indésirable au troisième trimestre. Son nom est apparu dans des messages au sujet les plus divers : depuis les publicités ordinaires pour "la même montre que le Président" jusqu'aux critiques de l'administration Obama en passant par des appels à la lutte contre la politique du Président en fonction (en général, ces appels contenaient également des demandes de dons pour soutenir la cause). Le nom du président des Etats-Unis est même apparu dans des messages malveillants et d'escroquerie.

Vers la fin du mois de septembre, le nombre de messages anglophones incitant les citoyens américains à changer la trajectoire politique du pays a augmenté. Apparemment, ce fut l'effet de la campagne électorale : les élections présidentielles américaines ont eu lieu le 6 novembre 2012. Les messages contenaient des critiques des actions du président Obama et des appels à voter pour son opposant Mitt Romney.

Il faut dire que la législation américaine contre le courrier indésirable (le CAN-SPAM Act de 2003) ne couvre que les diffusions commerciales (publicités). Du point de vue de la loi, les diffusions massives de messages politiques ne sont pas considérées comme du courrier indésirable.

Les escrocs ont également tenté d'exploiter à leurs fins la popularité de Barack Obama. Ces messages d'escroquerie citaient non seulement le nom du président américain, mais également celui de son épouse, Michelle Obama. Les diffuseurs de messages d'escroquerie à la nigériane ont tenté d'atténuer la méfiance des utilisateurs en envoyant les messages au nom de Michelle Obama : dans ce message, la première Dame des Etats-Unis promet des millions de dollars à celui qui lui enverra son adresse, son numéro de téléphone et 240 dollars.

Outre le courrier indésirable politique, le troisième trimestre aura également été marqué par du courrier indésirable religieux. Le lien vers la vidéo intitulée "Innocence des Musulmans" sur YouTube a été diffusé via des messages non sollicités. Normalement, les individus malintentionnés se contentent d'exploiter l'intérêt des utilisateurs pour les sujets d'actualité et les liens dans ces messages mènent vers des ressources malveillantes. Dans le cas qui nous occupe, les liens menaient bel et bien vers la vidéo sur YouTube et aucun programme malveillant n'a été diffusé à l'aide de ces messages.

Ceci étant dit, certains individus malintentionnés ont malgré tout exploité la vague de scandale suscitée par le film en diffusant des messages malveillants sous la forme de flash infos :

Les liens de ces messages menaient à un site compromis d'où les utilisateurs étaient redirigés vers le site malveillant pillsearning.nl. Cette ressource était également la destination d'un lien dans une autre diffusion exploitant le nom du président américain et les élections :

Nouveaux espaces publicitaires : avantages et inconvénients

Réduction de la part de courrier indésirable

Nous avions déjà remarqué au trimestre dernier une migration de la publicité depuis le courrier indésirable vers d'autres plateformes : bannières, réseaux sociaux, publicité contextuelle, services d'achat de groupes. Cette tendance s'est maintenue au troisième trimestre et la part du courrier indésirable dans le trafic de messagerie a enregistré un nouveau recul de 2,8 %.

Le diagramme illustre clairement la réduction estivale traditionnelle du courrier indésirable et une faible reprise en septembre. Ce genre de hausse se manifeste presque chaque année en automne : les vacances sont terminées, les gens passent plus de temps sur Internet et les commanditaires de publicités tentent d'augmenter le volume de promotion, notamment dans le courrier indésirable. Et malgré cela, la tendance à la baisse de la part de courrier indésirable est bien visible.

"Zones d'ombre" dans les diffusions

Ces derniers temps, de nombreux services d'achat de groupes (coupons de remise) ont vu le jour : il s'agit d'activités commerciales sur Internet qui proposent aux utilisateurs ce qu'on appelle des remises collectives. Ces services sont en vogue dans le monde entier et détournent les commanditaires de publicités du courrier indésirable. D'un côté, c'est une évolution positive. De l'autre, certains de ces services ne respectent pas toujours la législation en vigueur quand il s'agit de diffuser leurs propres publicités. C'est ainsi qu'apparaissent des diffusions "grises".

Certains services d'achats de groupes diffusent du courrier indésirable pour se faire connaître et attirer de nouveaux clients. Ces diffusions sont envoyées en partie à des abonnés, mais surtout à une plage d'adresses plus large. Et si le destinataire ne s'est pas abonné à une diffusion, celle-ci peut être considérée comme du courrier indésirable même si ces messages contiennent, en plus de la publicité pour le produit, des informations, des articles sur le sujet et d'autres informations pertinentes. Tout destinataire de ce genre de message peut assigner le diffuseur en justice. En Russie, l'article 18 de la loi fédérale sur la publicité indique clairement que :

"La diffusion de publicités via les réseaux de communication électronique, y compris via le téléphone, le fax ou les liaisons mobiles, est admise uniquement si l'abonné ou le destinataire a marqué son accord pour la réception desdites publicités. On considèrera qu'une publicité a été diffusée sans l'accord préalable de l'abonné ou du destinataire si le diffuseur n'est pas en mesure de démontrer qu'il avait obtenu l'accord."

Ce genre d'article existe dans presque toutes les législations en la matière à travers le monde, voire  dans des textes de loi spécifique au courrier indésirable.[OE1] 

Autrement dit, n'importe quel destinataire d'un message non sollicité envoyé par un commanditaire de publicité peu scrupuleux peut intenter une action en justice contre ce dernier. Et alors que dans le cadre du courrier indésirable classique, l'anonymat de l'expéditeur est un facteur qui complique les poursuites contre l'auteur, les responsables des diffusions "grises" sont quant à eux bien plus faciles à localiser.

Faux messages de services d'achat de groupes à caractère malveillant

Les diffuseurs de courrier indésirable ne manquent pas d'exploiter la popularité croissante de ces nouveaux espaces publicitaires légaux. Notamment, en envoyant des messages malveillants présentés sous les traits de diverses notifications officielles. On trouve de plus en plus souvent des messages non sollicités malveillants présentés sous de fausses notifications de services d'achat de groupes.

Nous avons déjà évoqué ce phénomène dans notre rapport pour le deuxième trimestre 2012. Si nous y revenons dans ce rapport, c'est à cause de l'émergence de messages malveillants envoyés sous les traits de notifications de Groupon.

Nous nous attendions à l'émergence de tels messages car ces services sont très populaires et les utilisateurs leur font confiance. Un message d'un service d'achat de groupes est le moyen idéal pour dissimuler la diffusion de programmes malveillants.

C'est en juillet que nous avons repéré la première diffusion de ce genre. A l'époque, le message reproduisant un avis sur une nouvelle action d'un grand service d'achats de groupe contenait un fichier zip avec le fichier exécutable Gift coupon.exe. Il s'agissait en fait du programme malveillant Trojan.Win32.Yakes.aigd. Tous les liens des messages avec les pièces jointes malveillantes menaient sur le site de Groupon qui n'hébergeait aucun objet dangereux. C'était évidemment une astuce utilisée par les individus malintentionnés pour gagner la confiance des utilisateurs.

La situation est toute autre si nous prenons les messages malveillants que nous avons détectés au mois de septembre. Cette nouvelle diffusion au nom de Groupon n'avait pas de pièces jointes, mais tous les liens, après plusieurs redirections, menaient à une ressource malveillante hébergeant des codes d'exploitation.


 [OE1]Can be changed to the relevant law in respective countries/regions where this will be published.

Comme nous l'avons déjà dit, nous nous attendions à l'apparition de messages non sollicités malveillants exploitant le sujet des coupons car ces services sont très populaires. Nous souhaitons profiter de l'occasion pour prévenir les utilisateurs :

Tout d'abord, les services d'achat de groupes ne joignent jamais des fichiers aux messages, et surtout pas des archives zip ou des fichiers exécutables.

Ensuite, tout utilisateur, avant de cliquer sur un lien dans un message, doit s'assurer que le message envoyé au nom d'un service connu provient du destinataire adéquat (champ from) et que tous les liens mènent bien où ils indiquent (il suffit pour ce faire de déplacer le curseur sur le lien). 

Notre site reprend des conseils pratiques en la matière.

Diffusions malveillantes : l'ère de la diversité

Nous tenons à signaler que nous avons été frappés par la diversité des diffusions malveillantes au cours de ce trimestre. La majorité d'entre elles se présentait sous les traits de messages officiels :  nous avons détecté de faux messages de services d'hébergement, de systèmes bancaires, de réseaux sociaux, de magasins en lignes et d'autres services.

Il est intéressant de constater que ce trimestre, ce sont les faux messages de confirmation de réservation de chambre d'hôtel qui ont été les plus répandues alors qu'au trimestre dernier, il s'agit des notifications d'achat de billets d'avion.

Dans certains cas, les individus malintentionnés ont exploité simultanément deux astuces d'ingénierie sociale : pour obliger l'utilisateur à cliquer sur le lien dans la fausse notification d'un site populaire, ils mentionnaient une récompense :

Face à un tel volume de faux messages de qualité contenant des liens malveillants, les utilisateurs doivent être particulièrement prudents : n'importe quel message peut être dangereux.

Statistiques

Pièces jointes malveillantes dans le courrier

Bien que tout au long du troisième trimestre la part de pièces jointes malveillantes dans le trafic de messagerie a reculé, le pourcentage moyen de messages contenant de telles pièces jointes à l'issue du trimestre a augmenté de 0,9 point par rapport au trimestre précédent pour atteindre 3,9 %. Le diagramme ci-après illustre la répartition de cet indice pour chaque mois.

Répartition des déclenchements de l'Antivirus Courrier par pays

Le changement le plus marquant dans le classement des pays par déclenchements de l'Antivirus Courrier à l'issue du troisième trimestre est sans conteste l'arrivée de l'Allemagne en première position (+3,8 %).

Les Etats-Unis, en tête du classement 8 mois consécutifs, avaient enregistré en septembre un brusque recul en 8ème position, ce qui a eu un impact sur les résultats du trimestre. Par rapport au trimestre précédent, les Etats-Unis ont perdu 5,2 points et ils reviennent en deuxième position, sur les talons du leader.

La part de la Grande-Bretagne a reculé de 1,7 points (cinquième place), tandis que l'Italie perd 1,6 points et quitte le Top 10. Les variations des parts des autres pays ne dépassent pas 1,5%.

Il est intéressant d'observer la dynamique des diffusions de code malveillant au Viet Nam et en Australie : tout au long du trimestre, les indices pour ces deux pays ont été très similaires.

TOP 10 des programmes malveillants diffusés par courrier

Bien que la part de détections du leader traditionnel Trojan-Spy.HTML.Fraud.gen par l'Antivirus Courrier sе soit fortement contractée en septembre, ce programme malveillant conserve malgré tout la première position pour le trimestre, avec une grande longueur d'avance sur les autres programmes malveillants. Plus de 20 % de l'ensemble des détections de l'Antivirus Courrier au troisième trimestre 2012 sont à mettre au compte de ce programme. Pour rappel, Trojan-Spy.HTML.Fraud.gen est un programme malveillant qui se présente sous la forme d'une page HTML qui imite la page d'ouverture de session sur le site d'une entité financière ou d'un service en ligne quelconque. Les données d'authentification saisies sur cette page sont envoyées aux individus malintentionnés. La diffusion de ce programme malveillant est une des astuces employées par les auteurs d'attaque de phishing.

 

Les vers de messagerie Bagle.gt, Mydoom.m et Mydoom.l occupent respectivement la deuxième, la troisième et la quatrième place. Le ver Netsky.q est un peu à la traîne et occupe la sixième position. Pour rappel, les vers de messagerie servent principalement à récolter des adresses de messagerie sur l'ordinateur infecté pour y envoyer sa copie. Bagle.gt est le seul programme malveillant parmi ces 4 qui dispose d'une fonctionnalité complémentaire : il peut établir une connexion à Internet et télécharger d'autres programmes sur l'ordinateur de la victime.

Les programmes de la famille Androm qui sont entrés dans le classement en juin ont maintenu leur position tout au long de l'été et un de ses membres, Androm.kv, a même occupé la première position en septembre. A l'issue du trimestre, cette modification occupait la cinquième position du classement. Un autre membre de cette famille occupe la dernière place du classement. Ces programmes malveillants, une fois installés dans le système de l'utilisateur, téléchargent d'autres programmes malveillants depuis Internet, y compris des bots de courrier indésirable.

En septième position, nous retrouvons Trojan-Ransom.Win32.PornoAsset.aauh : il s'agit d'un programme de chantage qui bloque le système d'exploitation et qui exige le versement d'une somme déterminée pour débloquer le système. Ces programmes ont été très présents en septembre : le Top 10 du premier mois d'automne comptait quatre programmes appartenant à cette famille.

Taille des messages non sollicités

Au troisième trimestre 2012, la taille des messages était comme d'habitude très petite (1 Ko et moins). En général, le corps de ces messages contient une phrase brève et un lien vers un site que l'utilisateur va visiter. En septembre, nous avons observé une augmentation du volume des messages un peu plus gros (de 2 à 5 Ko). Ceci est lié à l'augmentation en automne du volume de courrier indésirable légitime envoyé par les petites et moyennes entreprises. Le corps de ce genre de message a tendance à contenir plus d'informations. Le courrier indésirable envoyé dans le cadre de partenariat doit contenir un lien et les revenus du diffuseur de courrier indésirable dépendent du nombre d'utilisateurs qui vont cliquer sur ce lien.

Répartition des sources de courrier indésirable par pays et région

Au troisième trimestre, la part de messages non sollicités envoyés depuis la Chine (+6,78 %) et les Etats-Unis (+15 %) a sensiblement augmenté. Ces deux pays sont globalement responsables de plus de la moitié du courrier indésirable à travers le monde.

La part des autres pays a reculé proportionnellement.

Le courrier indésirable envoyé depuis la Chine touche principalement les pays de la région Asie/Pacifique et d'Europe occidentale. Le courrier indésirable en provenance des Etats-Unis a quant à lui été diffusé principalement sur le continent américain et vers certains pays de la région Asie/Pacifique. S'agissant du courrier indésirable reçu en Europe de l'Est, il provenait en majorité d'Inde et du Viet Nam. L'Europe de l'Ouest a également reçu beaucoup de courrier indésirable en provenance d'Inde, le pays qui occupe la deuxième place du classement des pays sources de courrier indésirable. 

Au niveau des régions source de courrier indésirable, la part d'Amérique du Nord a sensiblement augmenté grâce aux Etats-Unis (+15 %) tandis que la part de l'Asie se maintient à un niveau élevé : près de la moitié du courrier indésirable est envoyé depuis des ordinateurs qui se trouvent dans cette région. L'Europe de l'Ouest devance l'Europe de l'Est et occupe la 4e place. Elle se rapproche des résultats de l'Amérique latine.

Phishing

Le classement des catégories des organisations victimes d'attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l'utilisateur a tenté de cliquer, qu'il s'agisse d'un lien dans un message ou sur Internet.

A l'issue du trimestre, les réseaux sociaux sont en tête des catégories de sites victimes d'attaques de phishing. Ils représentent 26,5 % des attaques, soit une progression de 0,6 point par rapport au trimestre précédent. Les organisations financières occupent la deuxième position avec 22 % des attaques, soit un recul de 1,6 point par rapport au trimestre précédent.

Il est intéressant de constater que malgré la part relativement faible d'attaques de phishing contre les jeux en ligne, nous avons enregistré tout au long du trimestre des vols de données d'inscription de joueurs de battle.net. On peut supposer que la sortie récente de WoW : Mist of Pandaria va réveiller l'intérêt des auteurs d'attaques de phishing contre les adeptes des jeux de la société Blizzards.

Conclusion et pronostics

Nous avons observé au troisième trimestre une multitude de diffusions de messages à caractère politique. Le volume de ces messages a connu une croissance jusqu'aux élections présidentielles américaines le 6 novembre. Le nombre de messages malveillants exploitant l'intérêt des utilisateurs pour les élections a également augmenté.

La transition des commanditaires de publicité du courrier indésirable vers d'autres plateformes est renforcée par la pénalisation croissante du courrier indésirable vu le volume important de publicités pour des articles interdits, d'escroqueries et de messages malveillants. Au cours de l'année dernière, nous avons observé deux tendances parallèles : une réduction de la part de courrier indésirable et une légère augmentation de la part de diffusions malveillantes. Ces deux tendances vont probablement se maintenir car la part de courrier indésirable diminue en raison de l'abandon de ce mode de promotion par les personnes qui proposent des biens et des services légitimes.

S'agissant des pays source de courrier indésirable, la part des Etats-Unis a considérablement augmenté, mais il est peu probable qu'elle se maintienne à ce niveau, ce qui signifie qu'on peut s'attendre à un tassement au prochain trimestre. L'Asie demeure la région d'où provient le plus grand volume de courrier indésirable.

 

 

Photo


  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

Contact pour la Presse

Morgane Rybka

Envoyer un e-mail 

Tel. +33-(0)1 41 31 75 06
Fax +33-(0)1 41 03 09 91 

Télécharger

Kaspersky Lab on the Web

Virus Analyst Blogs