Kaspersky Spam Report March 2012 FR

Courrier indésirable en mars 2012
Maria Namestnikova
Sommaire
Mars en chiffres ............................................................................................................... 2
Survol des principaux événements du mois .................................................................... 2
Survol statistique ............................................................................................................. 5
Pays, source du courrier indésirable ............................................................................ 5
Pièces jointes malveillantes dans le courrier ............................................................... 5
Répartition des déclenchements de l'Antivirus Courrier par pays ....................................................... 6
TOP 10 des programmes malveillants diffusés par courrier ................................................................. 6
Phishing ....................................................................................................................... 7
Sujets du courrier indésirable ...................................................................................... 8
Conclusion....................................................................................................................... 9
Mars en chiffres

Par rapport au mois de février, la part du courrier indésirable dans le trafic de messagerie
a diminué de 3,5% pour atteindre 75%.

Par rapport au mois de février, la part de messages de phishing dans le trafic de
messagerie a été divisée par deux et représente 0,01%.

Au mois de mars, 2,8% des messages électroniques contenaient des fichiers malveillants,
ce qui correspond aux chiffres du mois dernier.
Survol des principaux événements du mois
Hlux/Kelihos – la réduction de la part de courrier indésirable ne s'est pas fait attendre
Au mois de mars, la part de courrier indésirable a diminué de 3,5 % par rapport à février. Ce
recul est assez imposant, surtout si l'on sait qu'il s'agit de grandeurs relatives. En chiffres absolus,
le volume de courrier indésirable par rapport au mois passé a reculé de près de 20 %.
Nous pensons que ce recul est à mettre en rapport avec la neutralisation de la nouvelle version du
réseau de zombies Hlux/Kelihos. La part de courrier indésirable enregistrée au cours de la
semaine du 19 au 25 mars, correspondant au début de l'opération de neutralisation du réseau de
zombies, a atteint son niveau le plus bas pour le mois (73,4 %). Au cours de la dernière semaine
du mois de mars, à l'annonce de la réussite de l'opération, la part de courrier indésirable avait
légèrement augmenté pour atteindre 74,1 %, ce qui s'explique probablement par la réorganisation
des diffuseurs de courrier indésirable.
Nouveaux pièges du courrier indésirable
Ces dernières années, les diffuseurs de courrier indésirable qui envoient des programmes
malveillants ou des liens vers du code malveillant doivent souvent changer de tactique. En effet,
leur objectif est d'amener l'utilisateur à ouvrir la pièce jointe ou à cliquer sur le lien. Si
l'utilisateur ne réagit pas, le courrier indésirable n'apporte rien aux diffuseurs. Par conséquent, le
courrier indésirable malveillant se présente toujours sous les traits de messages inoffensifs. Mais
si les individus malintentionnés utilisent toujours la même astuce pour dissimuler le code
malveillant, les utilisateurs parviennent plus facilement à identifier le danger et les individus
malintentionnés reçoivent moins de bénéfices.
Souvent, les diffuseurs de courrier indésirable qui ont mis au point un nouveau piège vont
organiser pendant deux ou trois jours des diffusions rapides vers de nombreux utilisateurs afin de
tromper un maximum d'entre eux avant que la nouvelle astuce ne soit démasquée. En général, les
diffuseurs de courrier indésirable misent sur la curiosité des utilisateurs et/ou ils envoient des
messages prétendument envoyés depuis des sites légitimes.
La diffusion enregistrée du 20 ou 23 mars est un exemple frappant de cette technique. Les
messages envoyés par les diffuseurs de courrier indésirable se présentaient sous la forme de
messages de confirmation de réservation de billets d'avion.
La thématique des billets d'avion dans le courrier indésirable n'est pas nouvelle mais avant, le
programme malveillant compacté dans une archive était joint au message confirmant le paiement
de la réservation. Les messages non sollicités de cette diffusion ne contenaient pas de pièces
jointes : le destinataire était invité à cliquer sur un lien dans le message pour réaliser son
enregistrement en ligne.
Une fois que l'utilisateur avait cliqué sur le lien, un cheval de Troie était installé. Ce cheval de
Troie était chargé de télécharger notre vieille connaissance ZeuS/Zbot. Les détails techniques de
cette attaque sont repris ici.
L'attaque s'est terminée le 23 mars aux environs de 21 heures, heure de Moscou. Nous tenons à
attirer votre attention sur le fait que tous les messages reçus entre le 20 et le 23 mars invitaient le
destinataire à s'enregistrer sur un vol partant le 20 mars. Ceci nous rappelle une fois de plus que
la première ligne de défense de l'ordinateur est l'utilisateur et la prudence dont il doit faire
preuve.
Courrier indésirable réel
Parmi les sujets exploités dans le courrier indésirable du mois de mars, citons la Saint-Patrick, la
fête de Pâques et le lancement de l' iPad3.
Un billet consacré à la Saint-Patrick publié sur notre blog rappelait que les partenariats exploitent
toutes les fêtes et autres événements marquants possibles afin d'attirer l'attention. Nous avions
cité en exemple un site modèle de vente de copies de montres qui avait été décoré à l'aide des
symboles de la Saint-Patrick.
Pâques, comme il fallait s'y atteindre, est une autre fête très utilisée par les diffuseurs de courrier
indésirable. Ainsi, les publicités pour des copies d'articles de luxe ont été diffusées à la fin du
mois de mars dans des messages présentés sous la forme de cartes de vœux pour Pâques.
A la différence des messages utilisant le sujet de la Saint-Patrick, les messages faisant référence
à Pâques ne se contentaient pas de renvoyer les destinataires vers un site dont la décoration
évoquait Pâques, mais ils contenaient eux-mêmes des éléments graphiques liés à cette fête.
Dans le courrier indésirable anglophone inspiré de Pâques, nous avons détecté des arnaques à la
nigérienne sous la forme de notification de gains à une loterie de Pâques, des propositions de
cadeaux divers pour cette fête printanière ainsi que des publicités pour des copies d'articles de
luxe.
Le courrier indésirable de Pâques russophone contenait également de nombreuses publicités de
cadeaux pour la famille et les proches ainsi que des publicités pour des voyages et des excursions
à réaliser à Pâques. A la différence des messages anglophones, les messages russophones
diffusés sur l'Internet russe ne sont pas diffusés dans le cadre de partenariat mais sont
commandités par des petites et moyennes entreprises qui utilisent le courrier indésirable comme
forme de publicité.
Le lancement du nouvel iPad, 3e génération, n'est pas non plus passé inaperçu pour les diffuseurs
de courrier indésirable. A l'instar des diffusions évoquant Pâques, on observe des différences
entre les messages anglophones et russophones.
Ainsi, le courrier indésirable anglophone de ce type vise principalement les utilisateurs
américains et le nouveau produit d'Apple sert principalement d'appât. Faire miroiter un iPad ou
un iPhone gratuit est une technique très répandue et visiblement toujours très efficace employée
par les individus malintentionnés pour forcer le destinataire à s'intégrer dans une pyramide,
cliquer sur un lien de phishing ou malveillant ou installer un logiciel publicitaire sur l'ordinateur
de la victime. Alors que le mois passé, les destinataires de ces messages se voyaient promettre un
iPad2 ou un iPhone 4S, ce mois-ci, c'est l'iPad3 qui est le plus souvent utilisé.
Survol statistique
Pays, source du courrier indésirable
Pays, source de courrier indésirable en mars 2012 (Top 20)
Le Top 20 des pays source de courrier indésirable du mois de mars n'a pratiquement pas changé
par rapport au mois passé. Le Top 6 reprend les mêmes pays que le mois dernier et la seule
modification observée est la permutation de places entre le Viet Nam et la Corée qui occupent
respectivement la 4e et la 5e place. La part de courrier indésirable diffusée en mars depuis la
Corée a diminué de 2,3 %. La part des autres pays du classement n'a que très peu changé (aux
alentours de 1,5 %).
L'Inde conserve la tête du classement avec 12,3 % du courrier indésirable (+0,4 %).
Pièces jointes malveillantes dans le courrier
Au mois de mars, 2,8% des messages électroniques contenaient des fichiers malveillants, ce qui
correspond aux chiffres du mois dernier.
Répartition des déclenchements de l'Antivirus Courrier par pays
Déclenchements de l'Antivirus Courrier par pays en mars 2012
Les Etats-Unis occupent, pour le troisième mois consécutif, la première place du classement des
déclenchements de l'Antivirus courrier. La part de déclenchements de Kaspersky Mail Antivirus
aux Etats-Unis a augmenté de 1,7 % par rapport au mois de février et a atteint 14,7 %.
L'Australie se retrouve à la deuxième place du classement des déclenchements de l'Antivirus
Courrier, à la surprise générale. Sa part a plus que doublé (+6,9 %) pour atteindre 12,4 %. En
troisième position, nous retrouvons Hong Kong, comme le mois dernier.
Par rapport à février, la part des déclenchements en Allemagne a sensiblement reculé (de 2,5 %).
La part des autres pays du classement n'a changé que de 2% environ.
TOP 10 des programmes malveillants diffusés par courrier
Top 10 des programmes malveillants diffusés par courrier en mars 2012
12% des détections réalisées par Kaspersky Mail Antivirus portaient sur le leader traditionnel de
notre classement :Trojan-Spy.HTML.Fraud.gen. Par rapport au mois dernier, la part de ce
programme malveillant a reculé de 2%. Pour rappel, Trojan-Spy.HTML.Fraud.gen est un
programme malveillant qui se présente sous la forme d'une page HTML qui imite la page
d'ouverture de session sur le site d'une entité financière ou d'un service en ligne quelconque. Les
données d'authentification saisies sur cette page sont envoyées aux individus malintentionnés. La
diffusion de ce programme malveillant est en fait une des astuces employées par les auteurs
d'attaque de phishing.
Les vers de messagerie Email-Worm.Win32.Mydoom.m,
Email-Worm.Win32.Bagle.gt, EmailWorm.Win32.NetSky.q et Email-Worm.Win32.NetSky.c figurent toujours dans le classement et
occupent respectivement la troisième, la quatrième, la sixième et la septième place. Ces vers de
messagerie étaient dotés d'une fonction assez rudimentaire : la collecte d'adresses de messagerie
sur les ordinateurs infectés et la diffusion de leur copie à ces adresses. Bagle.gt est le seul ver du
Top 10 qui, outre cette fonction, est capable également de contacter des ressources Internet afin
de télécharger des programmes malveillants. Dans la mesure où la fonction d'auto-diffusion n'est
pas contrôlable, ces programmes malveillants ne sont pas utilisés dans le cadre d'attaques ciblées.
Deux programmes malveillants de notre classement du mois de mars sont de faux antivirus. Cela
fait longtemps que des programmes malveillants de ce type n'étaient pas apparus dans le Top 10.
Pour rappel, ces programmes malveillants visent principalement à soustraire de l'argent à
l'utilisateur de l'ordinateur infecté.
Phishing
Par rapport au mois de février, la part de messages de phishing dans le trafic de messagerie a été
divisée par deux et représente 0,01%.
Répartition du TOP 100 des organisations victimes d'attaques de phishing par catégories
mars 2012
Le classement des catégories des organisations victimes d'attaques de phishing repose sur les déclenchements de
notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur
lesquels l'utilisateur a tenté de cliquer, qu'il s'agisse d'un lien dans un message ou sur Internet.
Les organisations financières occupent une fois de plus le haut du classement des catégories de
sociétés qui intéressent le plus les auteurs d'attaques de phishing. Elles ont été impliquées dans
près d'un quart des déclenchements de l'Anti-phishing. Il faut signaler la stabilité de cette
catégorie : sa part n'a pratiquement pas changé depuis le mois de janvier. Et dans l'ensemble, il
n'y a pas de grand changement au niveau de l'intérêt des auteurs d'attaques de phishing. Par
rapport au mois de février, la modification la plus marquante du classement a été l'augmentation
de 1 % de la part d'attaques de phishing contre les clients de magasins en ligne.
La part des autres catégories du classement n'a que très peu changé par rapport au mois
précédent (de l'ordre de 1 %).
Sujets du courrier indésirable
Catégories du courrier indésirable en mars 2012
Les parts des catégories "Escroquerie informatique" et "Finances personnelles" qui occupent la
tête du classement depuis quatre mois déjà, ont enregistré un recul de 9,5 et de 4,4 %
respectivement. Il est intéressant de constater que, de son côté, la part de courrier indésirable
faisant la publicité de casinos a augmenté de 4 %. La catégorie de courrier indésirable "Finances
personnelles" repose sur l'idée que le destinataire va investir volontairement son argent après
avoir été attiré par le rendement promis.
La part de messages non sollicités proposant des voyages a également augmenté de 3 %, ce qui
s'explique probablement par l'approche des vacances d'été.
La part des autres catégories n'a que très peu changé par rapport au mois précédent (de l'ordre de
1,5%).
Conclusion
La part de courrier indésirable a reculé de 3,5 % en mars. Nous sommes tentés d'associer cette
réduction à la réussite des opérations de neutralisation du réseau de zombies Hlux/Kelihos
menées en collaboration avec des experts de Kaspersky Lab.
Au mois de mars, les diffuseurs de code malveillant via courrier indésirable ont ajouté quelques
astuces à leur arsenal. Le courrier indésirable demeure un phénomène dangereux malgré la
réduction de la part de pièces jointes diffusées dans le courrier au cours du premier mois
printanier.
Parmi les sujets les plus exploités dans le courrier indésirable du mois de mars, citons la SaintPatrick, la fête de Pâques et le lancement de l’iPad3. Les fêtes sont utilisées principalement pour
faire la publicité de divers articles alors que la thématique de l'iPad3 a été utilisée en guise
d'appât dans diverses escroqueries.