Kaspersky Lab

 

Analyse

23.04.2013

Courrier indésirable en mars 2013

Tatyana Scherbakova Daria Gudkova

Sommaire Mars en chiffres 1 Particularités du mois 1 Courrier indésirable de fête 1 Escroqueries à la nigériane et événements au Venezuela 3 Répartition géographique des sources de courrier indésirable 4 Pièces jointes malveillantes dans les messages non sollicités 6 Répartition des déclenchements de l'Antivirus Courrier par pays 8 Phishing 10 Conclusion 11

Mars en chiffres

  • La part du courrier indésirable dans le trafic de messagerie en mars a diminué de 1 % pour atteindre 70,1 %.
  • Par rapport au mois de février, la part de messages de phishing dans le trafic de messagerie a doublé et représente 0,006 %.
  •  4 % des messages électroniques contenaient des fichiers malveillants, soit 1,2% de de plus que le mois passé.

Particularités du mois

Le nombre de messages non sollicités exploitant la thématique des fêtes a chuté au mois de mars. Nous avons toutefois détecté des diffusions faisant référence à la Saint Patrick, à Pâques, à la fête des mères, célébrée généralement au mois de mai. La mort d'Hugo Chavez, le président du Venezuela, n'a pas échappé aux diffuseurs de messages non sollicités.

Courrier indésirable de fête

Au mois de mars, Internet a été submergé de diffusions s'inspirant des fêtes de Pâques. Cette fête est surtout mentionnée dans les messages anglophones faisant la publicité d'articles de contrefaçon et de pilules pour maigrir ainsi que dans des messages d'escroquerie. En guise de cadeau pour cette fête, les diffuseurs de courrier indésirable proposaient même des remises sur l'achat de bases de données d'investisseurs.

Pour la Saint-Patrick, célébrée le 17 mars dans de nombreux pays, les diffuseurs de courrier indésirable proposaient des services d'impression de cartes plastifiées ou d'organisation et d'exécution de campagnes publicitaires. Tous ces messages possédaient un style qui évoquait la fête : le vert ainsi que les trèfles, principaux symboles de la fête, étaient très présents dans les messages.

En mars, les diffuseurs de courrier indésirable ont continué à diffuser des messages pour des partenariats de fleuristes. Ces diffusions étaient associées à Pâques et à la fête des mères.

Escroqueries à la nigériane et événements au Venezuela

Un des événements politiques marquants du mois de mars aura été la mort du président du Venezuela. Hugo Chavez avait été à la tête du pays pendant 14 ans et il était devenu un personnage politique controversé sur la scène internationale. Les vagues qui ont accompagné son décès n'ont pas encore disparu. Déjà au début du mois de mars, nous avions détecté des messages d'escroquerie à la nigériane rédigés en anglais et en allemand qui exploitaient l'intérêt du public pour cet événement.

Un de ces messages provenait du capitaine d'un port du Venezuela qui sollicitait de l'aide pour conserver de l'argent obtenu grâce à la vente de gasoil au Sud-Soudan. Lors du premier contact, les escrocs ne promettent pas une somme d'argent précise en l'échange de l'aide. Ils veulent simplement susciter l'intérêt de la victime potentielle et l'amener à répondre au message. Dans les messages suivant, la récompense financière est proposée à la victime.

Un autre message dans une autre diffusion provenait du chef des services de sécurité et, par conséquent, un ami proche de Chavez. Comme toujours, les auteurs d'escroquerie à la nigériane donnent libre cours à leur imagination. : l'"ami" imaginaire a accès à l'argent que le président défunt gardait sur le compte en banque de sa maîtresse et il est disposé à offrir au destinataire du message 25 % du montant total en échange de son aide pour transférer l'argent.

Dans les deux cas, les escrocs cherchent à pousser l'utilisateur à réagir à l'offre, par exemple, en invoquant le paiement de services quelconques qui permettraient à la victime de recevoir ces fameux millions.

Répartition géographique des sources de courrier indésirable

A l'issue du mois de mars 2013, la Chine domine à nouveau (25,8 %) le classement des pays source du courrier indésirable diffusé à travers le monde. La part de courrier indésirable envoyé depuis les Etats-Unis a légèrement augmenté (17,3 %), ce qui place ce pays en deuxième position du classement général. Globalement, près de 43% du courrier indésirable envoyé à travers le monde en mars provenaient de ces deux pays.

La Corée du Sud occupe la troisième position (9,8%) comme au mois de février. Elle enregistre toutefois un recul de 3,8 %. Taïwan (5 %) et Inde (3,4 %) conservent leur position dans le Top 5. La Russie, quant à elle, enregistre un recul de près de 1 % (2,4 %) et passe de la 7e à la 10e position. L'Allemagne (2,7 %) qui occupait la 10e position le mois dernier a progressé de 1% en février et se retrouve en 8e position.

A l'issue du mois de mars, le leader de la diffusion de courrier indésirable en Europe est la Corée du Sud (36,8 %), bien qu'elle enregistre un recul de 13 %. La part de courrier indésirable en provenance de Chine a sensiblement augmenté et représente 11,2 %. Ce résultat permet à la Chine d'occuper la 2e position.

Les Etats-Unis (10,1 %) referment le trio de tête après avoir reculé de la 2e à la 3e position. L'Italie, qui occupait la 3e position à la fin du mois de février, passe en 4e position, avec 6,4 %, malgré une hausse de 1,1 % de son indice au mois de mars.

L'Asie domine toujours le classement des régions en matière de diffusion du courrier indésirable (54,1 %). Le trio de tête compte, comme en février, l'Amérique du Nord (17,8 %) et l'Europe de l'Est (10,2 %). Ces deux régions sont suives de près par l'Europe de l'Ouest (9,4 %).

Pièces jointes malveillantes dans les messages non sollicités

En mars 2013, la part de message comptant des pièces jointes malveillantes représentait 4 % du trafic de messagerie international. Soit, une progression de 1,2 % par rapport au mois précédent.

La première position est une fois de plus occupée par le programme malveillant Trojan-Spy.html.Fraud.gen (6,9 %), mais sa part par rapport au mois précédent a reculé de 4,1 points de pour cent. Pour rappel, ce cheval de Troie se présente sous la forme d'une page HTML qui imite un formulaire d'ouverture de session pour un service de transactions bancaires via Internet.  Si l'utilisateur saisit ses données dans les champs proposés et qu'il clique sur le bouton d'envoi, ses informations personnelles se retrouvent entre les mains des escrocs.

Trojan.win32.Bublik.aknd occupe la deuxième position. Ce programme malveillant recueille les mots de passe des FTP, les données d'autorisation d'accès aux services de messagerie et les certificats sur l'ordinateur infecté de l'utilisateur. De plus, il peut consulter les formulaires dans les navigateurs Mozilla Firefox et Google Chrome afin de rechercher des noms d'utilisateur et des mots de passe. Le programme envoie les données obtenues aux individus malintentionnés.

Le programme malveillant Email-Worm.Win32.Bagle.gt occupe la troisième position. Les vers de messagerie sont des habitués du Top 10 car leur principale fonction consiste à envoyer leur copie aux contacts du carnet d'adresses de la victime. Les vers de la famille Bagle peuvent contacter un centre de commande et installer d'autres programmes malveillants sur l'ordinateur infecté.

Qui plus, le Top 10 de ce mois compte des programmes malveillants de la famille Trojan-Ransom qui extorquent de l'argent des utilisateurs pour pouvoir accéder au système d'exploitation ou à une application (en général, via l'envoi de SMS à un numéro surfacturé). Les modifications du cheval de Troie Trojan-Ransom.Win32.Blocker que nous avons détectées bloquent le fonctionnement du système d'exploitation et affichent sur le Bureau une bannière qui indique la marche à suivre pour pouvoir à nouveau utiliser l'ordinateur. Nous tenons à rappeler à nos lecteurs qu'il ne faut jamais céder au chantage des cybercriminels et payer la somme demandée.

Répartition des déclenchements de l'Antivirus Courrier par pays

L'Italie, qui avait créé la surprise le mois dernier en occupant la 1re position (6,6 %), a cédé sa place aux Etats-Unis (13,6 %). Il est intéressant de voir que ce mois-ci, les utilisateurs aux Etats-Unis ont reçu, outre les programmes malveillant Trojan-Spy.html.Fraud.gen et Trojan.win32.Bublik.aknd qui volent des mots de passe, une multitude d'autres chevaux de Troie visant les mots de passe et appartenant à la famille Trojan-PSW.Win32.Tepfer. L'Allemagne occupe toujours la 2e position (11,1 %) : son indice n'a pratiquement pas changé. L'Australie (7 %) progresse quant à elle de la 5e à la 3e place, avec une augmentation de 1,3 %. Dans l'ensemble, la répartition des déclenchements par pays n'a pas beaucoup changé.

Après une période d'accalmie, les individus malintentionnés qui diffusaient des programmes malveillants par courrier, ont recommencé à envoyer de faux messages présentés sous la forme de confirmation de réservation de chambres d'hôtel ou de billets d'avion. Nous avons identifié au mois de mars une nouvelle diffusion de faux messages présentés sous la forme d'un avis de réservation d'une chambre chez Atlantic Hotel. Dans ce message, écrit au nom du gestionnaire de l'hôtel, les individus malintentionnés remercient le destinataire pour la réservation et indiquent qu'il sera attendu à l'hôtel le 20 mars 2013.

L'idée est que le destinataire intrigué va ouvrir l'archive jointe au message, contenant la prétendue confirmation de la réservation de la chambre d'hôtel, et lancer ainsi le fichier exécutable AtlanticHotel Booking Confirmation.doc.exe. Cette action entraîne l'infection de l'ordinateur par le programme malveillant identifié sous le nom Trojan-Ransom.Win32.Blocker.awbi par Kaspersky Lab. Ce cheval de Troie intervient beaucoup dans les escroqueries d'argent ou le vol de données financières.

Les escrocs ont également envoyé des messages contenant des pièces jointes malveillantes présentés comme des notifications de réservation de billets d'avion. Nous avons également identifié de faux messages envoyés au nom du service de réservation en ligne Delta.com. Dans ce message, les individus malintentionnés remerciaient le destinataire d'avoir choisi le service de réservation en ligne et indiquaient que les conditions applicables aux bagages et à l'enregistrement pouvaient varier en fonction de l'aéroport et du transporteur. Pour cette raison, le destinataire était invité à ouvrir le billet électronique joint au message afin de lire les conditions.

La pièce jointe était en réalité le fichier exécutable eTicket and Receipt.pdf.exe, détecté par Kaspersky Lab sous le nom Backdoor.Win32.ZAccess.bmdt. Ce programme malveillant permet aux individus malintentionnés d'obtenir un accès à distance à l'ordinateur de la victime afin de pouvoir voler des informations personnelles ou d'ajouter l'ordinateur à un réseau de zombies.

Outre les fausses notifications de réservation de chambre d'hôtel ou de billet d'avion, les diffuseurs de courrier indésirable ont utilisé en mars le nom de la société australienne de télécommunication TPG Telecom pour tromper des utilisateurs. Le faux message indiquait au destinataire que son compte de téléphonie mobile présentait un découvert de 5 dollars, mais que la société allait octroyer un crédit et que le solde du compte allait être de 20 dollars. Pour obtenir plus d'informations sur son solde, le destinataire du message devait ouvrir le fichier en pièce jointe.

L'archive zip contenait le fichier TGP-Account-Details.doc.exe, détecté par Kaspersky Lab en tant que cheval de Troie espion Trojan-Spy.Win32.Zbot.jqye. Il s'agit d'une des nombreuses versions du célèbre cheval de Troie ZeuS conçu pour voler les informations confidentielles de l'utilisateur.

Phishing

Au mois de mars, la part des messages de phishing dans le courrier a doublé et représentait 0,006 %.

Le classement des catégories des organisations victimes d'attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l'utilisateur a tenté de cliquer, qu'il s'agisse d'un lien dans un message ou sur Internet.

En mars, Les réseaux sociaux ont conservé leur première position en termes de nombres d'attaques et leur indice a reculé de de 4,3 % pour atteindre 34,5 %. On retrouve également dans ce trio de tête des organisations financières et de paiement (17,4 %) et des moteurs de recherche (14,9 %) en deuxième et en troisième position respectivement.

Les sociétés de technologies de l'information occupent la 4e position (9,9 %). Les opérateurs de téléphonie et les fournisseurs d'accès Internet referment le Top 5 (8,9 %), en progression depuis la 7e position. Leur indice a augmenté de 3,5 %.

En mars, nous avons reçu un curieux message de phishing en chinois, envoyé par le célèbre éditeur de réseau chinois sina.com.cn. Les auteurs de l'attaque de phishing indiquaientt dans le message que le compte du destinataire sur le site d'édition n'était pas bien protégé et qu'afin de garantir la sécurité du destinataire, il fallait cliquer sur le lien et actualiser les données du compte. En cliquant sur ce lien malveillant dans le message de phishing, la victime se retrouvait sur une copie de la page de saisie du nom d'utilisateur et du mot de passe pour accéder au compte. Les escrocs obtiennent de cette manière les données personnelles de l'utilisateur et le compte ainsi volé peut être exploité ultérieurement pour diffuser du courrier indésirable au nom de la victime.

Il est intéressant de voir que les escrocs proposent eux-même au destinataire du message de contacter le service d'assistance technique ou d'appeler le numéro indiqué en cas de doute ou de question. Cette astuce sert à convaincre le destinataire de la légitimité du message.

Conclusion

En mars, la part globale de courrier indésirable a légèrement reculé et les diffuseurs de messages non sollicités ont continué à exploiter la thématique des fêtes pour faire la publicité de divers produits et services. En avril, nous nous attendons à une réduction du volume de courrier indésirable inspiré des fêtes, mais il est probable que du courrier indésirable en russe inspiré de Pâque fasse son apparition. Un des principaux événements du mois de mars aura été la diffusion de messages d'escroquerie à la nigériane qui exploitaient l'intérêt du public pour les événements survenus au Venezuela.

Comme au mois de février, la majeure partie du courrier indésirable diffusé à travers le monde provient des Etats-Unis et de la Chine. En mars, ces deux pays étaient à l'origine de 43 % des messages non sollicités. La liste des pays qui envoient du courrier indésirable en Europe a connu des changements marquants : la Corée du Sud accuse un recul de 13 %, mais elle conserve malgré tout la 1re position. Elle représente désormais près d'un tiers de l'ensemble des diffusions de courrier indésirable.

Le classement des programmes malveillants diffusés par courrier indésirable au mois de mars se caractérise par sa diversité : des portes dérobées, des vers de messagerie et même des chevaux de Troie d'escroquerie ont été utilisés dans les pages de phishing. Ceci étant dit, Trojan-Spy.html.Fraud.gen occupe toujours la première position avec une grande longueur d'avance.

Le nombre de message d'hameçonnage a doublé, mais le trio de tête des organisations prises pour cible par ces attaques n'a pratiquement pas changé. Comme au mois passé, près d'un tiers de l'ensemble des attaques visait les utilisateurs des réseaux sociaux et le trio de tête était composé également de moteurs de recherche et d'organisations financières.

Photo


  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

Contact pour la Presse

Morgane Rybka

Envoyer un e-mail 

Tel. +33-(0)1 41 31 75 06
Fax +33-(0)1 41 03 09 91 

Télécharger

Kaspersky Lab on the Web

Virus Analyst Blogs