Kaspersky Lab

 

Analyse

16.03.2012

Courrier indésirable en février 2012

Maria Namestnikova

Sommaire

Le mois de février en chiffres..................................................................................................... 2

Principaux sujets du courrier indésirable................................................................................ 2

Survol statistique.......................................................................................................................... 3

Pays, source du courrier indésirable.........................................................................................3

Pièces jointes malveillantes dans le courrier..........................................................................4

Répartition des déclenchements de l'Antivirus Courrier par pays........................................4

TOP 10 des programmes malveillants diffusés par courrier.................................................5

Phishing............................................................................................................................................6

Sujets du courrier indésirable.......................................................................................................6

Conclusion.........................................................................................................................................7

Le mois de février en chiffres

·         Par rapport au mois de janvier, la part du courrier indésirable dans le trafic de messagerie a diminué de 2,3% pour atteindre en moyenne 78,5%.

·         Par rapport au mois de janvier, la part de messages de phishing dans le trafic de messagerie n'a pas changé et représente 0,02%.

·         Au mois de février, 2,8% des messages électroniques contenaient des fichiers malveillants, soit 1,5% de moins que le mois passé.

Principaux sujets du courrier indésirable

Courrier indésirable de fête

Dans le rapport du mois de janvier, nous évoquions le courrier indésirable consacré à la Saint-Valentin qui avait fait son apparition dans le trafic de messagerie. Notre blog avait également abordé ces diffusions de messages  non sollicités. Le courrier indésirable de Saint-Valentin a atteint son volume maximal le 12 février : 0,2 % des messages non sollicités envoyés ce jour-là faisait référence à la journée des amoureux.

Des messages proposant des cadeaux et des décorations pour Pâques ont été détectés dans le courrier indésirable anglophone.

Il est intéressant de noter également la présence dans le courrier indésirable anglophone de messages exploitant la thématique de la Journée internationale de la Femme (8 mars), une fête qui n'est pas célébrée d'habitude dans les pays anglophones.

Il est difficile d'expliquer l'objectif que les auteurs de la diffusion cherchaient à atteindre en proposant aux lecteurs anglophones d'offrir des pilules « pour hommes » à l'occasion du 8 mars. Le texte des messages portant l'objet « articles pour le 8 mars » ne contient aucune allusion au contenu du site qui fait l'objet de la publicité. L'autre élément incompréhensible est l'utilisation d'extraits de la version anglaise du roman Guerre et paix de Léon Tolstoy pour brouiller le message. Il semblerait que cette diffusion a été mise au point par un slavophile.

Courrier indésirable politique

Le mois de février aura été marqué par un volume important de diffusion de messages à caractère politique dans l'Internet russophone, ce qui n'est pas étonnant vu la campagne électorale qui battait son plein à travers toute la Russie et la proximité des élections présidentielles.

On retrouve également des diffusions de messages non sollicités à caractère politique dans le courrier indésirable anglophone en raison des prochaines élections présidentielles aux Etats-Unis.

Survol statistique

Pays, source du courrier indésirable

Pays, source de courrier indésirable en février 2012 (Top 20)

Le Top 20 des pays source de courrier indésirable n'a pratiquement pas changé par rapport au mois passé. Il suffit de dire que les 12 premières places sont occupées par les mêmes pays qu'au mois de janvier. Certains d'entre eux ont seulement changé de position. La part de tous les pays du classement n'a que très peu changé (aux alentours de 1,5%).

L'Inde conserve la tête du classement avec 11,9% du courrier indésirable mondial (+0,4%). La part de l'Indonésie a également légèrement augmenté (+0,3 %).  

Le Brésil et la Corée, que l'on retrouve en troisième et quatrième position, sont à égalité pour le deuxième mois consécutif. La part de courrier indésirable diffusé depuis le territoire de ces pays a diminué d'un peu plus de 1 %.

Pièces jointes malveillantes dans le courrier

Au mois de février, 2,8% des messages électroniques contenaient des fichiers malveillants, soit 1,5% de moins que le mois passé.

Répartition des déclenchements de l'Antivirus Courrier par pays

Répartition des déclenchements de l'Antivirus Courrier par pays en février 2012

Les Etats-Unis d'Amérique occupent la première position du classement des pays par déclenchement de l'Antivirus Courrier pour le deuxième mois consécutif, même si la part de déclenchement de Kaspersky Mail Antivirus aux Etats-Unis a légèrement reculé par rapport à janvier (-0,2 %).

La part de déclenchements de l'Antivirus Courrier en Russie a à nouveau reculé de 2 % et le pays a quitté le Top 10 des pays en fonction des déclenchements de Kaspersky Mail Antivirus.

Comme nous l'avons déjà indiqué, l'activité des diffuseurs de courrier indésirable malveillant se propage selon deux vecteurs. Le premier est la diffusion de programmes malveillants dans le but d'obtenir des données personnelles et financières des utilisateurs. Le deuxième est la diffusion de programmes malveillants qui vont intégrer les ordinateurs dans des réseaux de zombies.

Dans le cadre de la diffusion de programmes malveillants qui récoltent des données, les individus malintentionnés sont surtout intéressés par les pays développés où le niveau de vie des utilisateurs est supérieur et où les transactions bancaires par Internet sont fréquentes. Les programmes malveillants qui visent à recruter des ordinateurs pour des réseaux de zombies se propagent principalement dans les pays en développement où seul un faible pourcentage d'ordinateurs est protégé par des logiciels antivirus et où la législation contre le courrier indésirable et les programmes malveillants est faible ou inexistante.

A l'heure actuelle, les flux de courrier indésirable sont dominés par des programmes malveillants qui cherchent à voler des informations à caractère financier ou autre chez les utilisateurs. Les bots sont toujours diffusés, principalement chez les utilisateurs asiatiques.

Cette répartition des attaques par région est un phénomène observé au cours des deux derniers mois. La part de déclenchements de l'Antivirus Courrier dans l'ensemble des pays, à l'exception de la Russie, n'a que très peu changé en février (de l'ordre de 1,5 %).

TOP 10 des programmes malveillants diffusés par courrier

Top 10 des programmes malveillants diffusés par courrier en février 2012

Les quatre premières positions du classement sont occupées par les mêmes programmes qu'au mois de janvier.

Plus de 16% des détections portaient sur le leader indétrônable de notre classement :Trojan-Spy.HTML.Fraud.gen.  Par rapport au mois de janvier, la part de ce programme malveillant a progressé de 2%. Vous vous en souviendrez, Trojan-Spy.HTML.Fraud.gen est un programme malveillant qui se présente sous la forme d'une page HTML qui imite la page d'ouverture de session sur le site d'une entité financière ou d'un service en ligne quelconque. Le programme transmet les informations saisies sur cette page aux individus malintentionnés. Il s'agit d'une attaque de phishing. 

Six programmes sur les dix programmes malveillants du classement détectés dans le courrier sont des vers de messagerie des familles Email-Worm.Win32.Mydoom, Email-Worm.Win32.NetSky, Email-Worm.Win32.Bagle.

Mydoom.m, Bagle.gt et NetSky.q n'ont pas changé de position par rapport à janvier : ils figurent respectivement en deuxième, quatrième et sixième place. Deux autres vers de la famille NetSky (NetSky.c et NetSky.ghc) occupent la neuvième et la dixième place. En septième position, nous retrouvons un deuxième programme malveillant de la famille Mydoom, à savoir Mydoom.l.

Cinq des programmes malveillants cités ci-dessus (ceux des familles Mydoom et NetSky) ne remplissent que deux fonctions : la collecte d'adresses de messagerie sur les ordinateurs infectés et la diffusion de leur copie à ces adresses. Outre la fonction citée, Bagle.gt contacte également des ressources Internet afin de télécharger des programmes malveillants.

Phishing

Répartition du TOP 100 des organisations victimes d'attaques de phishing par catégorie
(Février 2012, déclenchements de Kaspersky Antiphishing)

Le classement des catégories des organisations victimes d'attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l'utilisateur a tenté de cliquer, qu'il s'agisse d'un lien dans un message ou sur Internet.

Par rapport au mois de janvier, le classement des catégories d'organisations qui intéressent le plus les auteurs d'attaques de phishing n'a pratiquement pas changé.

Comme toujours, nous retrouvons les organisations financières en tête du classement. Les sites utilisés dans le cadre des attaques contre cette catégorie d'organisation représentent près de 25 % des déclenchements d'Antiphishing. Cet indice n'a pratiquement pas changé par rapport au mois de janvier.

La part des déclenchements de l'Antiphishing sur les sites visant à voler les données d'accès des utilisateurs aux réseaux sociaux a augmenté de 3,5 %. Ceci s'explique par le fait qu'à l'issue du mois de février, la cible préférée des auteurs d'attaques de phishing était les utilisateurs de Facebook. De son côté, la part de déclenchement sur les sites de la catégorie « Magasins en ligne, enchères sur Internet » a reculé de 3 %. Le célèbre magasin en ligne Amazon, qui occupait la première position au mois de janvier, a enregistré un recul marqué en février.

La part des autres catégories de cible des auteurs d'attaques de phishing n'a que très peu changé par rapport au mois précédent (de l'ordre de 1 %).

Le Top 100 des ressources dont les clients ont été victimes d'attaques de phishing accueille les cartes électroniques Hallmark, ce qui s'explique par la tentative des individus malintentionnés d'utiliser cette marque comme appât pour diffuser du code malveillant dans des cartes consacrées à la Saint-Valentin.

Sujets du courrier indésirable

Catégories du courrier indésirable en février 2012

Le duo de sujets les plus souvent utilisés dans le courrier indésirable anglophone reste inchangé pour le troisième mois consécutif. La part de chacun d'entre eux a augmenté par rapport à janvier : 4,6 % d'augmentation pour les messages d'escroquerie et 3,9 % pour la catégorie « Finances personnelles ». 

On a observé au mois de février le recul des diffusions proposant des bourses pour étudier ou réaliser des recherches scientifiques, sujet populaire le mois dernier chez les diffuseurs de courrier indésirable. Par conséquent, la part de messages de la catégorie « Formation » a sensiblement reculé et ne représente plus que 1,19 %.

 

Conclusion

La réduction de la part de messages non sollicités avec des pièces jointes malveillantes n'est qu'un phénomène temporaire, selon toute vraisemblance. Il est peu probable que les diffuseurs de courrier indésirable arrêtent de participer aux partenariats de diffusion de code malveillant, surtout quand la part de courrier indésirable commandité dans les pays développés diminue sous les effets de la crise économique.

Il faut signaler que les programmes malveillants dans le courrier indésirables ne sont pas diffusés seulement sous la forme de pièces jointes, mais également sous la forme de liens malveillants. Ainsi, la réduction de la part de pièces jointes malveillantes observées dans le courrier ne signifie pas toujours la réduction des la part de diffusions malveillantes en tant que telles.

 

Photo


  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

Contact pour la Presse

Morgane Rybka

Envoyer un e-mail 

Tel. +33-(0)1 41 31 75 06
Fax +33-(0)1 41 03 09 91 

Télécharger

Kaspersky Lab on the Web

Virus Analyst Blogs