rapport sur les e-menaces au 1 semestre...

1

Rapport sur les e-menaces au 1er semestre 2011

MALWARE, SPAM ET PHISHING : LES TENDANCES

2

Auteur Bogdan BOTEZATU, Spécialiste en communication

Collaborateurs Loredana BOTEZATU, Spécialiste en communication – Menaces de types Malwares et Web 2.0 Răzvan BENCHEA, Analyste Malware Dragoş GAVRILUŢ, Analyste Malware Alexandru Dan BERBECE - Administrateur de la base de données Dan VANDACHEVICI - Analyste Spam Irina RANCEA – Analyste Phishing

Rapport sur l’état des e-menaces – 1er semestre 2011

3

Table des matières Table des matières................................................................................................................................. 3 Table des figures.................................................................................................................................... 4 Sommaire .............................................................................................................................................. 5 Les vedettes du malware ....................................................................................................................... 6 Les menaces de type malware .............................................................................................................. 7 Les principaux pays producteurs et diffuseurs de malwares.. ............................................................... 7 Top 10 des e-menaces au 1er semestre 2011 ....................................................................................... 8 Etat des botnets ................................................................................................................................. 12 Malwares Web 2.0 ............................................................................................................................... 14 Malwares de messageries instantanées .............................................................................................. 15 Menaces sur les réseaux sociaux ........................................................................................................ 16 Inventaire des menaces spam ............................................................................................................. 18 Phishing et usurpation d’identité .......................................................................................................... 21 Vulnérabilités, exploits et violations de la sécurité ............................................................................... 22 Prévisions concernant les e-menaces ................................................................................................. 23 Activité des botnets .............................................................................................................................. 23 Applications malveillantes .................................................................................................................... 23 Réseaux sociaux ................................................................................................................................. 24 Systèmes d’exploitation pour appareils mobiles .................................................................................. 24 Version bêta de Windows 8 ................................................................................................................. 24 Avertissement ...................................................................................................................................... 25


4

Table des figures Figure 1 : Top 10 des pays producteurs et diffuseurs de malwares ...................................................... 7 Figure 2 : Top 10 des pays les plus touchés par les malware................................................................ 8 Figure 3 : Top 10 des familles de malwares les plus actives ................................................................. 9 Figure 4 : Les botnets les plus actifs au 1er semestre 2011 ................................................................ 13 Figure 5 : Liens malveillants distribués via Yahoo Instant Messenger ................................................ 15 Figure 6 : Win32.Worm.Pinkslipbot à l’œuvre ..................................................................................... 16 Figure 7 : Programme de cartes de vœux à l’œuvre au moment de Pâques. Il collecte des informations personnelles .................................................................................................................... 16 Figure 8 : Mécanisme de propagation d’un ver Facebook. Le CAPTCHA est en fait le commentaire 17 Figure 9 : La prétendue vidéo n’est accessible que si l’utilisateur répond à un certain nombre de questions ............................................................................................................................................. 18 Figure 10 : Spam par catégories ............................................................................................. ........... 18 Figure 11 : Message spam pharmaceutique – modèle simple de courrier .......................................... 19 Figure 12 : Spam proposant des épouses russes : présentation sobre et pas d’image en pièce jointe .............................................................................................................................................................. 19 Figure 13 : Spam intégrant du malware dirigeant l’utilisateur vers d’autres malwares ........................ 20 Figure 14 : 15 millions d’adresses électroniques des membres de Facebook ouvertes au spam ....... 21 Figure 15 : Top 10 des organismes et services victimes de phishing au cours du 1er semestre 2011 21 Figure 16 : E-mail de phishing WoW – remarquez les fautes de frappe ............................................. 22


5

Sommaire Les six premiers mois de 2011 ont été placés sous le signe des vulnérabilités et des violations de données. Alors que le paysage du malware a peu évolué et n’a enregistré que peu d’épidémies, le nombre des attaques et des violations de données a considérablement augmenté au cours de la période considérée. Les cybercriminels ont pris pour cible principale la sécurité informatique des entreprises, avec le double objectif de paralyser leur système tout en les discréditant aux yeux de leurs clients. Deux des plus importants vendeurs de sécurité informatique victimes de telles attaques ont été HBGary et RSA, la division sécurité de EMC. Une autre importante fuite de données, suivie par presque un mois de paralysie, est l’incident subi par Sony PlayStation Network, aboutissant à l’affichage des coordonnées des cartes bancaires d’environ deux millions d’utilisateurs de PSN. La fuite n’a été révélée qu’au bout d’un certain temps. Les dommages causés aux utilisateurs restent encore à évaluer. Des interruptions de services significatives sont également intervenues en Egypte, à la suite de la gigantesque vague protestataire du 28 janvier. Pour empêcher manifestations et défilés d’opposition, le gouvernement égyptien a contraint tous les fournisseurs locaux d’accès à Internet à bloquer les connexions, rendant ainsi impossible la plupart des communications électroniques. La panne d’Internet en Egypte a donné lieu à d’interminables débats sur l’importance des communications numériques et les catastrophiques conséquences des interruptions de services. Les réseaux sociaux ont joué un rôle clé dans le maintien d’un climat d’insécurité. Bien que le nombre de e-menaces spécialement conçues pour infecter les utilisateurs de réseaux sociaux (par exemple les tristement célèbres vers Koobface et Boonana) ait spectaculairement diminué, les cybercriminels ont concentré leurs efforts sur le développement d’un nombre sans précédent de fausses applications antivirus. L’objectif de ces applications virales/contaminantes est double : d’une part elles redirigent les utilisateurs vers des sites Web où ils sont contraints de remplir un questionnaire, de l’autre elles recueillent le maximum d’informations sur leurs victimes et leurs amis, informations qui sont ensuite utilisées pour des campagnes ciblées de spam et de phishing.

Les fuites de données ont rendu gratuitement disponibles 1,5 million d’adresses, de noms et de profils Facebook


6

Les vedettes du malware Les vers Autorun et les chevaux de Troie constituent le plus important volume d’infections, avec plus de 25 % de la masse totale de toutes les infections connues. Pour protéger les utilisateurs contre ce problème dont l’augmentation persiste, BitDefender a créé USB Immunizer, un outil gratuit qui empêche le malware Autorun d’infecter les périphériques USB et les cartes de stockage de photos. Le Web reste l’un des plus importants vecteurs d’infection. Les attaques contre les sites Web très influents sont l’une des méthodes les plus utilisées pour infecter les ordinateurs des utilisateurs au moment où ils visitent leurs sites favoris. La mort d’Oussama ben Laden et la Ligue des champions sont deux des événements qui ont placé Black-Hat SEO sous les projecteurs. Les messages spam intégrant du malware se sont révélés en spectaculaire augmentation. Tandis que le spam contenant du malware représente habituellement 1,5 % du montant total des mails non sollicités envoyés dans le monde, il atteignait jusqu’à 7 % et plus à la mi-avril. La plupart de ces messages transportent des variantes des malwares Bredolab et AsProx. Les botnets les plus importants en termes de diffusion du malware sont Bredolab, Cutwail et AsProx. Les attaques de phishing sont à la racine du mal : certaines des brèches ouvertes au cours de la première moitié de 2011 ont été percées à partir de courriers électroniques de phishing. L’incident RSA intervenu fin mars a été déclenché par un message électronique adressé à certains employés sélectionnés et qui transportait un fichier Excel intitulé « Plan de recrutement 2011 »1. Le fichier contenait un microprogramme Flash anormal qui installait une porte dérobée en exploitant une vulnérabilité d’Adobe Flash (CVE-2011-0609). Les malwares visant Mac OS X gagnent lentement du terrain au fur et à mesure qu’augmentent les parts de marché d’Apple. Au cours de la première moitié de l’année, BitDefender a découvert de multiples variantes de faux antivirus et constaté que de récentes discussions sur des forums faisaient allusion au développement d’un outil de création de malware semblable à Zeus.

1 Toutes les informations sur ce vol de données peuvent être consultées sur le blog de RSA à l’adresse http://blogs.rsa.com/rivner/anatomy-of-an-attack/.


7

Les menaces de type malwares Le premier semestre 2011 a enregistré de nombreuses modifications au niveau du classement des principaux malwares, mais le changement le plus important est le recul de Downadup au profit des déverrouilleurs de logiciels. Une autre apparition significative dans le Top des principaux malwares du semestre est celle de Exploit.CplLnk.Gen, une routine générique qui intercepte l’exploit du Panneau de configuration utilisé par de nouvelles variantes du ver Stuxnet.

Les principaux pays producteurs et diffuseurs de malware Au cours des six premiers mois de 2011, les pays les plus prolifiques en termes de production de malware sont restés à peu près les mêmes qu’au cours de la seconde moitié de 2010. Les plus importants producteurs de malware sont la Chine et la Russie, avec des pourcentages respectifs de 31,30 et 21,88. Le Brésil figure en troisième position avec 8,40 % de la totalité du malware produit dans le monde. De façon assez surprenante, la Chine et la Russie ont un pourcentage de malware identique à celui enregistré au semestre précédent. Le pourcentage du Brésil est passé de 8,1 à 8,4 avec une prédilection pour les chevaux de Troie banquiers compilés avec Delphi.

Figure 1 : Top 10 des pays producteurs et diffuseurs de malwares D’autres producteurs notables de malware sont la Corée du Sud (avec 1,41 % du malware mondial), l’Arabie Saoudite (0,7 %) et le Canada (0,56 %). Les pays les plus atteints sont la France et les Etats-Unis, qui cumulent plus de 25 % du total mondial des incidents liés au malware enregistrés par BitDefender. Au cours des six premiers mois de 2011, en France, plus de 500.000 ordinateurs ont été exposés à différentes familles de malware, allant des faux logiciels antivirus courants jusqu’aux malwares les plus dévastateurs de la famille Sality ou Downadup.


8

Figure 2 : Top 10 des pays les plus touchés par les malwares

Top 10 des e-menaces au 1er semestre 2011 Bien que la menace électronique n° 1 de la première moitié de 2011 soit toujours la même depuis 2009, le classement a enregistré quelques modifications, les malwares les plus anciens reculant à un rang inférieur et les déverrouillages de logiciels venant significativement occuper la seconde place. Le malware multi-plateformes écrit en Java a également fait son apparition dans le classement, représenté par Java.Trojan.OpenConnection.Al. Cet outil est un téléchargeur silencieux, qui peut introduire et faire s’exécuter un certain nombre de e-menaces sur l’ordinateur compromis. On peut aussi noter la présence d’Exploit.CplLnk.Gen, un des mécanismes de diffusion du célèbre ver Stuxnet et du groupe Sality / Virtob de infecteurs de fichiers.



9

Figure 3 : Top 10 des familles de malwares les plus actives 1. Trojan.AutorunINF.Gen Trojan.AutorunINF.Gen est une menace persistante, qui occupe le premier rang du classement du malware par BitDefender depuis déjà le deuxième semestre 2009. Représentant 6,94 % de l’ensemble des infections, la famille Autorun constitue toujours l’une des plus prolifiques espèces de malware, bien qu’elle ait sensiblement régressé (après avoir atteint au 2ème semestre 2010 le taux écrasant de 10,42 %). Cette détection générique fonctionne avec les fichiers autorun.inf anormaux qui accompagnent habituellement deux familles de malware de type plug-and-play, comme Win32.Worm.Downadup, Win32.Zimuse.A, Win32.Sality, Trojan.PWS.OnlineGames, Win32.Worm.Sohanad et Win32.Worm.Stuxnet.A. Compte tenu de l’extension de la présence des e-menaces de la famille AutorunINF, BitDefender a créé un outil gratuit, appelé BitDefender USB Immunizer, qui protège les clés USB et les cartes CF / SD contre ces fichiers autorun.inf modifiés. BitDefender USB Immunizer peut être téléchargé à partir de la page des produits de BitDefender Labs. 2. Trojan.Crack.I Arrivant en deuxième position du classement par BitDefender du malware du 1er trimestre 2011, Trojan.Crack.I est une e-menace intégrée à certains « déverrouilleurs » destinés à faire échec aux protections commerciales des applications de type shareware. Cette e-menace est particulièrement répandue dans les pays dont les taux de piraterie sont élevés, dont la Roumanie, l’Espagne et la


10

France. En dehors de sa création de clés de licence pour différentes applications courantes, Trojan.Crack.I tente de télécharger des fichiers spécifiques à partir du Web et de les exécuter sur la machine locale, ce qui peut aboutir à l’installation d’encore plus de malware. Cette e-menace est nouvelle dans le Rapport sur les e-menaces de BitDefender, mais elle occupe d’emblée le second rang avec 6,62 % de l’ensemble des infections. 3. Win32.Worm.Downadup.Gen Win32.Worm.Downadup n’a plus besoin d’être présenté : il s’agit du ver qui a provoqué des ravages dans l’industrie informatique dès le début de l’année 2008. Créé par une équipe de professionnels du malware dont l’identité reste encore un mystère à l’heure actuelle, le ver a infecté des millions d’ordinateurs dans le monde entier. Il utilise une vulnérabilité du Microsoft Windows Server Service RPC (connu également sous le sigle MS08-67) pour se propager, mais il peut aussi « sauter » d’une clé infectée à une autre. Après avoir infecté l’ordinateur, le ver restreint l’accès au service Windows Update, ainsi qu’à la plupart des sites Web des fournisseurs d’antivirus, et installe alors de fausses applications antivirus. Win32.Worm.Downadup est passé de la seconde à la troisième place en moins de six mois (avec un taux de seulement 5,75 % de l’ensemble des infections), au moment où de plus en plus d’utilisateurs d’ordinateurs passent de Windows XP à Windows 7, moins vulnérable aux infections par Win32.Worm.Downadup. 4. Gen:Variant.Adware.Hotbar.1 Gen:Variant.Adware.Hotbar.1 est une routine générique qui intercepte une famille d’applications adware dont l’objectif est d’afficher des publicités sur l’ordinateur des utilisateurs. Cette catégorie de adware rapporte de l’argent à ses créateurs soit en affichant des publicités contextuelles dans le navigateur de l’utilisateur, soit en installant carrément ces adwares à droite du haut de l’écran. Pour augmenter l’intérêt de ces publicités Gen:Variant.Aware.Hotbar.1 surveille et enregistre les habitudes de navigation des utilisateurs et crée les profils correspondants. Cette e-menace arrive au 4ème rang avec 5,49 % de l’ensemble des infections enregistrées par BitDefender au cours de la première moitié de 2011. 5. Exploit.CplLnk.Gen Au cinquième rang du Top 10 des e-menaces du malware au 1er semestre 2011, Exploit.CplLnk.Gen représente 3,02 % de l’ensemble des infections. Si on compare ce résultat à celui de la seconde moitié de 2010, l’exploit à étendu son champ d’action de 1 %, en dépit d’un correctif mis à disposition par le fournisseur du système d’exploitation. Cette détection est propre aux fichiers Ink (raccourcis) qui se servent d’une vulnérabilité présente dans tous les systèmes d’exploitation Windows® pour exécuter un code arbitraire ; ce défaut a été largement utilisé par le ver Stuxnet pour s’exécuter lui-même automatiquement dès qu’un support amovible infecté est branché sur l’ordinateur.


11

6. Win32.Sality.3 Win32.Sality.3 est une variante spécifique qui concerne les infecteurs de fichiers de la famille Sality. Cette famille de virus ajoute en général son code malveillant dans la dernière partie d’un fichier EXE ou SCR. Le virus Sality est capable d’infecter des fichiers exécutables sur des disques locaux, amovibles ou partagés à distance, ce qui augmente énormément son potentiel destructif sur les réseaux. Tout de suite après avoir infecté le système, le virus crée une liste des fichiers exe et scr, ajoute son code polymorphe solidement crypté, puis modifie le point d’entrée du fichier pour que le code viral s’exécute à chaque fois que le fichier est lui-même exécuté. Ce logiciel malveillant installe également un pilote de rootkit, entreprend de détruire l’antivirus local, puis installe un composant peer-to-peer (P2P) pour ajouter l’ordinateur infecté à un botnet. Win32.Sality.3 occupe la sixième position du classement du malware par BitDefender, avec 2,37 % de l’ensemble des infections. 7. Win32.Sality.OG Win32.Sality.OG est une variante du virus Win32.Sality et est classé au 7ème rang avec 2,22 % de l’ensemble des infections enregistrées au cours de la première moitié de 2011. Cette e-menace possède toutes les caractéristiques décrites dans la note sur Win32.Sality.3, mais utilise un algorithme de cryptage plus ancien. 8. Java.Trojan.Downloader.OpenConnection.AI Java.Trojan.Downloader.OpenConnection.AI est une e-menace écrite en Java, découverte fin 2010. Bien qu’il soit relativement récent dans le paysage des e-menaces, ce code malveillant est extrêmement contagieux et peut être présent sous la forme de microprogrammes Java sur des sites Web compromis ou malveillants promus par les cybercriminels par l’intermédiaire des réseaux sociaux. Ce microprogramme Java malveillant télécharge et exécute des fichiers arbitraires et contourne la zone de protection de Java en utilisant l’exploit CVE-2010-0840. Java.Trojan.Downloader.OpenConnection.AI occupe la huitième position du classement du malware par BitDefender avec 1,83 % de l’ensemble des infections. 9. Trojan.Autorun.AET Classé au 9ème rang du Rapport sur les e-menaces au 1er semestre 2011, Trojan.Autorun.AET est responsable de la contamination de 1,87 % des ordinateurs du monde entier. Ce code malveillant se diffuse par l’intermédiaire de dossiers Windows partagés, comme par celui de supports de stockage amovibles. Pour s’exécuter automatiquement le cheval de Troie utilise un fichier autorun.inf placé sur la racine du disque amovible infecté.


12

10. Win32.Virtob.Gen Win32.Virtob arrive au 10ème rang avec 1,76 % de l’ensemble des infections pour la première moitié de 2011. Ce contaminant de fichiers est optimisé par sa taille, sa rapidité et sa furtivité. Son code est entièrement écrit en langage assembleur et infecte les fichiers scr et exe, mais ne modifie pas les fichiers cruciaux du système d’exploitation Windows. En plus d’infecter d’autres fichiers, le virus tente de se connecter à sa source par l’intermédiaire d’un serveur IRC où il reçoit des ordres de son maître. Le virus possède un composant de type porte dérobée qui permet à un attaquant de prendre le contrôle d’un ordinateur et de dérober fichiers, cookies, mots de passe ou autres informations critiques, et aussi d’installer d’autres e-menaces. Top des malwares : janvier à juin 2011 01. TROJAN.AUTORUNINF.GEN 6,94 % 02. Trojan.Crack.I 6,62% 03. WIN32.WORM.DOWNADUP.GEN 5,75% 04. Gen:Variant.Adware.Hotbar.1 5,49% 05. EXPLOIT.CPLLNK.GEN 3,02% 06. WIN32.SALITY.3 2,37% 07. WIN32.SALITY.OG 2,22% 08. Java.Trojan.Downloader.Ope

nConnection.AI 1,89%

09. TROJAN.AUTORUN.AET 1,78% 10. Win32.Virtob.Gen.12 1,76% 11. AUTRES 62,16%

Etat des botnets La situation des botnets a pris un tournant spectaculaire au cours des six premiers mois de 2011, quand deux des principaux botnets ont finalement disparu. Cette disparition, ajoutée à la cessation de l’activité d’affiliation de SpamIt au cours des derniers mois de 2010, a porté un coup majeur aux activités des spammeurs du monde entier et modifié le degré d’influence respectif des botnets les plus importants de la planète.


13

Figure 4 : Les botnets les plus actifs au 1er semestre 2011

Le botnet Rustock, un moment connu pour être la plus importante source de spam du monde, s’est retrouvé dans une impasse le 11 mars, au moment où des mesures coordonnées ont provoqué la déconnexion simultanée de tous ses serveurs C&C, empêchant ainsi les bots de communiquer et de se mettre à jour. Ce désassemblage a fait spectaculairement diminuer la quantité de spams envoyés dans le monde, dans la mesure où Rustock était responsable d’environ la moitié des courriers non sollicités provenant d’un botnet. L’indice du volume du spam se situe actuellement à 77,1 %, une amélioration importante par rapport aux 85,1 % du 2ème semestre 2010. 1. Buzus (aussi connu sous le nom de Donbot) Buzus est dans les parages depuis 2009, mais n’a jamais réussi à entrer au panthéon des botnets, principalement parce que ses capacités n’égalaient pas celles des élites du spam comme Rustock, Pushdo et leurs semblables. Ce bot peu subtil communique en langage clair et peut envoyer environ 7.500 messages spam par heure à partir d’un seul ordinateur infecté. Cet inlassable spambot se consacre aux produits pharmaceutiques et aux contrefaçons et à quelques autres secteurs de moindre importance. 2. Lethic Lethic est l’un des botnets dont la naissance remonte à fin 2007. De faible envergure si on le compare au botnet Rustock aujourd’hui défunt, l’armée des ordinateurs fantômes de Lethic est surtout connue pour son implication dans le spam pharmaceutique et les contrefaçons. Elle a survécu à une tentative de démembrement début 2010, qui avait réduit à zéro ses envois de spam, et s’est relevée un mois plus tard, lorsque tous les ordinateurs infectés ont de nouveau été capables de se connecter à leur serveur C&C localisé aux Etats-Unis. Même si ses émissions n’ont pas retrouvé le niveau antérieur à l’incident, Lethic peut encore revendiquer d’importantes quantités de messages non sollicités.


14

3. Pushdo / Cutwail Pushdo n’a pas besoin d’être présenté car il existe depuis suffisamment longtemps pour avoir donné la preuve de ses capacités. En tant que l’un des plus anciens botnets encore actifs, Pushdo est responsable d’une part importante des courriers spam, allant des produits pharmaceutiques aux « logiciels OEM soldés ». Le botnet est également célèbre pour son envoi de spams transportant du malware qui ressemblait beaucoup à des notifications et des alertes provenant de services de réseaux sociaux. Pushdo a des activités à facettes multiples, les clients pouvant profiter de la puissance du botnet pour une multitude de campagnes. Le bot Pushdo est également actif au niveau des services de messagerie instantanée, où il s’attache à persuader d’autres contacts de télécharger et installer le composant bot. 4. Crypt.HO (aussi connu sous le nom de Maazben) Le botnet Maazben figure depuis toujours dans le Rapport de BitDefender sur les e-menaces. Ce botnet d’envergure moyenne n’a jamais cessé de prendre de l’ampleur depuis mai 2009 et se consacre principalement à la promotion de jeux d’argent par l’envoi de spams à des adresses électroniques appartenant à des citoyens d’Europe de l’Est. Il est l’un des bots déployé par la célèbre famille Sality – un type de infecteur de fichiers qui introduit et installe d’autres familles de bots. 5. Xarvester / Bifrose Xarvester est l’un des botnets de taille moyenne qui compense le manque de drones par une incroyable puissance de feu. Chaque bot Xarvester est capable d’envoyer environ 25.000 messages à l’heure, la plupart concernant des montres de contrefaçon et des produits pharmaceutiques. Ces bots ont des points communs avec leurs homologues Srizbi, ce qui peut laisser penser qu’Xarvester est un dérivé de ces derniers.

Malwares Web 2.0 Facebook dépassant 670 millions d’inscrits, on peut facilement s’attendre à ce que la plateforme de ce populaire réseau social devienne la cible numéro un des cybercriminels. Certains des développements les plus importants constatés au cours de la première partie de 2011 au niveau du « cybercrime du réseau social » se sont traduits par l’émergence d’un nombre considérable de faux antivirus et l’augmentation de liens dirigeant vers des sites de sondages ou du malware.


15

Malwares de messageries instantanées Les services de messagerie instantanée sont quotidiennement utilisés par des centaines de milliers d’usagers. Ils sont souples, faciles à intégrer dans les malwares grâce à la multitude d’API et de SDK disponibles sur le Web et, ce qui est encore plus important, ont un potentiel infectieux.

Figure 5 : Liens malveillants distribués via Yahoo Instant Messenger La plupart des liens malveillants distribués via les plateformes de messagerie instantanée au cours de la première moitié de 2011 étaient des publicités pour des sites de rencontres en ligne ou d’autres sites Web destinés aux adultes. Ces messages sont envoyés par les utilisateurs d’ordinateurs infectés par les bots Yahoo Messenger, de petits programmes, écrits en Delphi, qui se connectent au compte de l’utilisateur, récupèrent une liste de messages à distance, puis les envoient aux contacts de l’utilisateur. Les messages instantanés contenant des liens vers du malware ont également pullulé aux cours des six premiers mois de 2011. Le lien est hébergé sur un domaine co.cc gratuit et pointe sur un fichier compressé .zip supposé contenir des images. Mais, lorsque l’utilisateur essaie d’ouvrir l’ « image » contenue à l’intérieur, il est en réalité en train de lancer le ver, qui va continuer de se propager à partir de l’ordinateur qui vient d’être infecté et va également récupérer à distance une version modifiée de Zbot. Si l’on en juge d’après le nom des domaines que le ver appelle, le procédé semble provenir de Roumanie, bien que le malware soit hébergé aux Etats-Unis.


16

Figure 6 : Win32.Worm.Pinkslipbot à l’œuvre

Menaces sur les réseaux sociaux Les réseaux sociaux ont également été ciblés au cours des six derniers mois, les activités malveillantes ayant culminé pendant les vacances de Pâques et au moment de la mort d’Oussama ben Laden. La plupart de ces incidents de sécurité étaient dus à un ver à diffusion rapide qui attirait les utilisateurs en dehors du réseau social, où ils étaient exposés à du malware ou bien se voyaient demander de répondre à des séries de questions avant d’avoir accès au contenu annoncé.

Figure 7 : Programme de cartes de vœux à l’œuvre au moment de Pâques. Il collecte des informations personnelles


17

La plupart des faux antivirus apparus au cours des six premiers mois de 2011 visaient la collecte d’informations personnelles. Ces applications affichent des messages sur le mur par l’intermédiaire de vers et dirigent l’utilisateur vers une page où l’application sollicite des informations de base, comme le nom complet, l’adresse électronique, les réseaux, les loisirs favoris, et toutes les autres informations habituelles. Ces informations sont rassemblées dans une grande base de données où elles peuvent être filtrées en fonction des habitudes, des pays, des goûts, de la langue, etc. Dès que les informations ont été collectées, l’application poste sur le mur de l’utilisateur le même message attirant sur lequel il avait cliqué au départ, ce qui le rend visible par les amis de la victime.

Figure 8 : Mécanisme de propagation d’un ver Facebook. Le CAPTCHA est en fait le commentaire La mort d’Oussama ben Laden a également provoqué une multitude d’affichages sur les murs créés par des vers s’auto-propageant. Le principal objectif de ces messages était de profiter de la curiosité des utilisateurs concernant les circonstances de la mort d’Oussama ben Laden pour les diriger vers des sites Web de sondages payants.


18

Figure 9 : La prétendue vidéo n’est accessible que si l’utilisateur répond à un certain nombre de questions

Inventaire des menaces spam Avec l’élimination de Rustock à la suite du démantèlement du 16 mars, le paysage du spam a significativement changé. Le botnet Rustock, un temps responsable de la moitié du spam expédié chaque jour, a fini par être neutralisé. Le résultat a été visible presque immédiatement, les niveaux de spam ayant considérablement baissé. La chute de Rustock a parachevé la disparition d’une autre importante source de spam, à savoir celle du programme affilié SpamIt en septembre 2010. Ce programme avait financé certains des principaux spammeurs pour vanter des sites Web de faux médicaments et son élimination a porté un coup fatal à l’activité de Canadian Pharmacy qui – six mois plus tard – semblait avoir presque cessé.

Figure 10 : Spam par catégories


19

Même si la disparition de Rustock s’est traduite par un déclin rapide des messages pharmaceutiques, cette lucrative catégorie de spam n’a pas encore complètement disparue. La plupart des messages spam liée à la pharmacie proviennent de Russie et de Chine.

Figure 11 : Message spam pharmaceutique – modèle de courrier Les messages concernant les rencontres en ligne ont considérablement augmenté par rapport à seconde moitié de 2010. L’escroquerie « épouses russes » est une technique courante pour inciter les occidentaux non avertis à visiter un site Web de rencontres en ligne présentant des profils de femmes à la recherche de l’âme sœur. Dès qu’ils sont tombés dans le piège, il leur est demandé de transférer une certaine somme d’argent sur le compte de la future épouse pour couvrir ses frais de voyage entre la Russie et le domicile de la victime. Une fois le transfert effectué, la victime n’entendra plus jamais parler de l’épouse en question.

Figure 12 : Spam proposant des épouses russes : présentation sobre et pas d’image en pièce jointe Les messages spam véhiculant du malware ont également gagné en popularité à la suite de l’arrêt du programme affilié Spamlt. N’ayant plus que très peu ou plus de moyens pour les spams médicaux, les propriétaires de botnets ont fait porter leurs efforts sur la promotion d’un vaste assortiment de malwares. L’une des vagues de spam transportant du malware la plus persistante a été une campagne effacement du mot de passe sur Facebook, dont la conséquence était l’installation d’une porte dérobée sur l’ordinateur de la victime. D’autres campagnes de spam se servant des marques Facebook et Twitter ont été lancées pendant toute la première moitié de 2011.


20

Figure 13 : Spam intégrant du malware dirigeant l’utilisateur vers d’autres malwares Utilisant les modèles de courrier que Twitter emploie pour ses communications officielles, les cybercriminels ont lancé des campagnes informant les utilisateurs qu’ils avaient un grand nombre de messages non lus, et qu’ils pouvaient les lire en cliquant sur le lien fourni. Les utilisateurs suivant ce lien finissent par télécharger et installer une variante du bot Zeus / SpyEye. Spam : tendances au premier semestre 2011 Les premiers six mois de 2011 ont enregistré une baisse significative des spams à la suite du démantèlement du botnet Rustock en mars. L’indice du volume de spam a chuté de 85,1 à 77,2 %, ce qui est la diminution la plus importante de ces dernières années. En moyenne, la taille d’un message spam est de 2,5 Ko et le format texte est celui qui est privilégié pour l’envoi de mails non sollicités. La fin de Rustock a également contribué à la dissipation des spams à images comme ceux de la famille Canadian Pharmacy. En revanche, les attaques ciblées de phishing et de spam sont devenues plus précises à la suite de la série de violation de données et d’introduction dans les systèmes des entreprises intervenue au cours de la première moitié de l’année. Début février, une série d’attaques a eu lieu contre de hautes instances militaires et politiques aux Etats-Unis, en Chine et à Taïwan, dont les comptes Gmail ont été compromis par l’intermédiaire d’attaques de type phishing soigneusement planifiées. Les listes d’adresses électroniques collectées par de fausses applications Facebook ont également joué un rôle important dans l’industrie du spam en permettant aux spammeurs d’approcher plus efficacement leurs cibles et d’élargir leurs capacités à vendre ce qu’ils proposent.


21

Figure 14 : 15 millions d’adresses électroniques des membres de Facebook ouvertes au spam

Phishing et usurpation d’identité La première moitié de 2011 n’a pas seulement enregistré des changements dans le paysage du spam, celui du phishing a également été modifié. Tandis que les six derniers mois de 2010 avaient considéré Facebook comme la cible la plus visée au monde par le phishing, les vedettes cette année sont une fois encore des organismes financiers. Dans le classement du phishing de la première moitié de 2011, PayPal et eBay sont en tête avec des pourcentages respectifs de 54,74 et 12,41. L’industrie des jeux a également été une cible privilégiée des cybercriminels, particulièrement dans le secteur des jeux de rôle massivement multi-joueurs (RPG), comme World of Warcraft (en troisième position avec 7,29 %) et RuneScape (en septième position avec 3,63 %).

Figure 15 : Top 10 des organismes et services victimes de phishing au cours du 1er semestre 2011


22

Comme pour les organismes financiers, le phishing par l’intermédiaire des jeux est une activité très lucrative, en donnant à l’attaquant accès à un grand nombre de ressources, comme la clé de licence du jeu ou même le personnage lui-même, toutes choses qui peuvent être facilement vendues sur les marchés parallèles contre argent comptant.

Figure 16 : E-mail de phishing WoW – remarquez les fautes de frappe

Vulnérabilités, exploits et violations de la sécurité L’année 2011 a été extrêmement sévère pour une multitudes de grandes entreprises du monde entier. A la suite des incidents WikiLeaks l’an dernier en novembre, quand Facebook et Moneybookers ont rompu leurs relations avec le site, le groupe cyber-activiste Anonymous a lancé une série d’attaques contre ces sites Web et contre d’autres. La série d’attaques a débuté par un raid contre HBGary Federal à la suite de l’annonce officielle par l’entreprise qu’elle avait infiltré le groupe Anonymous. Les cyber-activistes ont répondu par une dégradation du site et une autre série d’attaques mettant à jour 68.000 courriers électroniques hautement confidentiels contenant des informations sur une application offensive d’excellente qualité. Le 2 avril 2011, le groupe des activistes a lancé l’une des plus importantes attaques de l’histoire contre le géant des communications Sony. Cette attaque, qui faisait partie de l’Opération revanche, était censée répondre à une plainte visant George Hotz (connu sous le nom de GeoHot), un développeur de logiciels qui avait créé et maintenu un outil populaire qui permettait à un logiciel officieux de tourner sur la console PlayStation 3. L’attaque a envoyé au tapis PlayStation Network et d’autres sites Web de PlayStation. Les attaques suivantes contre PlayStation Network ont été conduites par un groupe issu de Anonymous : LulzSec, qui a réussi à dévoiler les coordonnées des cartes de crédit de plus d’1,5 million d’utilisateurs de PSN.


23

Une autre attaque d’envergure a été annoncé le 2 juin, quand Google a révélé qu’un groupe inconnu de pirates chinois avaient hameçonné les coordonnées e-mail appartenant à des membres du gouvernement américain, des dissidents politiques chinois, des personnels militaires, des journalistes et d’autres officiels asiatiques. Les attaquants ont commencé par soigneusement observer pendant un temps leurs victimes, puis ont lancé des attaques individuelles de phishing qui leur ont permis de prendre le contrôle des boîtes aux lettres entrantes Gmail et d’en extraire les courriers relatifs à leur travail qu’ils avaient transférés de leur boîte aux lettres professionnelle vers leur compte Gmail. Les conséquences de cette attaque restent à évaluer.

Prévisions concernant les e-menaces Il ne fait aucun doute que les six derniers mois se sont déroulés sous le signe des violations de données de grandes entreprises. Ces incidents ont fait apparaître les conséquences désastreuses de négliger la nécessité de sécurité au niveau professionnel et donné une nouvelle dimension au terme cyber-guerre. Dénis de service et pertes massives de données ont été deux des menaces les plus importantes visant les réseaux d’entreprises et les gouvernements. Contrairement à d’autres attaques contre les entreprises, celles-ci ont eu des conséquences dramatiques, non seulement pour les sociétés elles-mêmes, mais pour leurs clients dont les données ont été divulguées.

Activité des botnets Les botnets font partie des outils les plus importants utilisés par les gangs de cybercriminels. Ils jouent un rôle clé depuis le boom d’Internet et ils continueront d’être une ressource essentielle. Cependant, les récents changements intervenus dans cette industrie, comme la disparition du programme affilié Spamlt, va forcer les maîtres de bots à rechercher de nouvelles méthodes pour exploiter les ordinateurs infectés. La suite de 2011 verra les botnets comme une condition préalable nécessaire aux attaques de dénis de service contre les entreprises et les gouvernements. Les botnets classiques créés après des infections réussies avec des logiciels bots vont être renforcés par les utilisateurs d’ordinateurs qui enrôlent volontairement leurs appareils pour fournir la bande passante nécessaire à des attaques DdoS.

Applications malveillantes Au cours de 2011, les auteurs de malware vont s’attacher à développer de nouvelles e-menaces issues du code source provenant de projets de grande envergure comme le kit Zeus. Au cours des six derniers mois, nous avons vu apparaître de nouvelles familles de malware possédant des fonctionnalités semblables à celles de versions plus anciennes de Zeus, et nous pensons qu’il faut s’attendre à ce que cette tendance s’accentue au cours du second semestre.


24

Les utilisateurs de Mac OS X ont devant eux un dur semestre. La part de marché de la société ayant franchi la barre des 10 %, la plateforme OS X devient une cible viable pour les cyber-escrocs. Nous avons déjà vu apparaître de faux antivirus sophistiqués, comme MacDefender. La rumeur laisse entendre qu’une nouvelle boîte à outils « crimeware » pour MacOS X est en cours d’élaboration, avec des quantités de caractéristiques empruntées au projet Wayland-Yutani.

Réseaux sociaux Les réseaux sociaux vont continuer d’être la destination privilégiée des cyber-criminels. Avec une base de victimes potentielles de plus 670 millions d’utilisateurs, Facebook est à lui seul une mine d’informations personnelles pouvant être utilisées à différentes fins. On pense que les incidents récents visant des responsables militaires américains et asiatiques ont été provoqués à l’aide de données collectées sur des réseaux sociaux. Les faux antivirus ont aussi énormément augmenté au cours des six derniers mois. Profile Creepers et Top Profile Viewers sont deux des multiples applications qui canalisent les données des profils vers des parties tierces pour en tirer des profits illicites. BitDefender prévoit que 2011 verra apparaître encore plus de ces faux antivirus qui tentent de forcer les utilisateurs à installer du adware ou à divulguer leurs informations personnelles.

Systèmes d’exploitation pour appareils mobiles L’essor de la plateforme Android a également été suivi d’une vague d’applications malveillantes destinées aux utilisateurs de portables. Google Android est une plateforme libre d’accès, ce qui rend extrêmement facile pour un développeur de logiciels de créer et de distribuer des applications tierces. Nous avons déjà constaté un débordement de l’activité des applications malveillantes, comme le Geinimi Trojan, ainsi qu’une série d’autres applications en fait utilisées pour hameçonner. BitDefender prévoit une augmentation du nombre d’applications malveillantes au cours des six prochains mois, particulièrement dans les pays comme la Chine, où il n’existe pas de sites officiels Android Market et où les utilisateurs ont tendance à télécharger des applications à partir de sites à haut risque.

Version bêta de Windows 8 La sortie prochaine de Windows 8 de Microsoft va pareillement engendrer une série d’infections de malware. L’intérêt général pour les avant-premières et les versions bêta va également pousser les utilisateurs à télécharger des copies illégales du logiciel et des déverrouillages via les réseaux peer-to-peer, ce qui pourra aboutir à la compromission totale du système. Pour éviter ce type d’incidents, il vous est conseillé de ne télécharger le logiciel que sur le site Web du fournisseur et de ne jamais utiliser de déverrouilleurs ni d’autres applications tierces qui pourraient contrecarrer le fonctionnement correct du logiciel.


25

Avertissement Les informations et les données exposées dans ce document reflètent le point de vue de BitDefender® sur les sujets abordés au moment de sa rédaction. Ce document et les informations qu'il contient ne peuvent en aucun cas être interprétés comme un engagement ou un contrat de quelque nature que ce soit. Bien que toutes les précautions aient été prises dans l'élaboration de ce document, l'éditeur, les auteurs et les collaborateurs dénient toute responsabilité pour erreurs et/ou omissions éventuelles. Pas plus qu'ils n'assument une responsabilité quelconque pour des dommages consécutifs à l'utilisation des informations qu'il contient. De plus, les informations contenues dans ce document sont susceptibles d'être modifiées sans avertissement préalable. BitDefender, l'éditeur, les auteurs et les collaborateurs ne peuvent garantir la poursuite de la diffusion de ce type d'informations ni d'éventuels correctifs. Ce document et les données qu'il contient sont publiés à titre purement informatif. BitDefender, l'éditeur, les auteurs et les collaborateurs ne donnent aucune garantie expresse, implicite ou légale relatives aux informations publiées dans ce document. Le contenu de ce document peut ne pas être adapté à toutes les situations. Si une assistance professionnelle est nécessaire, les services d'une personne compétente doivent être sollicités. Ni BitDefender, ni les éditeurs du documents, ni les auteurs ni les collaborateurs ne peuvent être tenus pour responsables des préjudices pouvant résulter d'une telle consultation. Le fait qu'une personne ou une organisation, un travail individuel ou collectif, y compris des textes imprimés, des documents électroniques, des sites Web, etc., soient mentionnés dans ce document en tant que référence et/ou source d'information actuelle ou future, ne signifie pas que BitDefender, l'éditeur du document, les auteurs ou les collaborateurs avalisent les informations ou les recommandations que peuvent fournir la personne, l'organisation, les travaux individuels ou collectifs, y compris les textes imprimés, les documents électroniques, les sites Web, etc. Les lecteurs doivent également savoir que BitDefender, l'éditeur du document, les auteurs ou les collaborateurs ne peuvent garantir l'exactitude d'aucune des informations données dans ce document au-delà de sa date de publication, y compris, mais non exclusivement, les adresses Web et les liens Internet indiqués dans ce document, qui peuvent avoir changé ou disparu entre le moment où ce travail a été écrit et publié et le moment où il est lu. Les lecteurs ont la responsabilité pleine et entière de se conformer à toutes les lois internationales applicables au copyright émanant de ce document. Les droits relevant du copyright restant applicables, aucune partie de ce document ne peut être reproduite, mise en mémoire ou introduite dans un système de sauvegarde, ni transmise sous aucune forme ni par aucun moyen (électronique physique, reprographique, d'enregistrement, ou autres procédés), ni pour quelque but que ce soit, sans l'autorisation expresse écrite de BitDefender. BitDefender peut posséder des brevets, des brevets déposés, des marques, des droits d'auteur, ou d'autres droits de propriété intellectuelle se rapportant au contenu de ce document. Sauf accord express de BitDefender inscrit dans un contrat de licence, ce document ne donne aucun droit sur ces brevets, marques, copyrights, ou autre droit de propriété intellectuelle. Tous les autres noms de produits ou d'entreprises mentionnés dans ce document le sont à titre purement informatif et sont et restent la propriété de, et peuvent être des marques de, leurs propriétaires respectifs. Copyright © 1997- 2011 BitDefender. Tous droits réservés.


rapport sur les e-menaces au 1 semestre...

Documents