Vous êtes sur la page 1sur 35

MALWARE ET SPAM : LES TENDANCES

Rapport sur les e-menaces 1 er semestre 2010

Rapport sur les e-menaces 1 e r semestre 2010 BitDefender - Editions Profil - Juillet 2010

BitDefender - Editions Profil - Juillet 2010

www.BitDefender.fr

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Auteur

Bogdan BOTEZATU, Spécialiste en communication

Collaborateurs

Loredana BOTEZATU, Spécialiste en communication – Menaces de types Malware et Web 2.0 Daniel CHIPIRIŞTEANU, Analyste Malware Dragoş GAVRILUŢ, Analyste Malware Alexandru Dan BERBECE - Administrateur de la base de données Adrian MIRON - Analyste Spam Irina RANCEA - Analyste Hameçonnage

Page 2

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Table des matières

Rapport sur les e-menaces au 1 er semestre 2010

1

Table des matières

3

Introduction

4

Les malwares vedettes

5

Les menaces de type malware

6

Les principaux pays diffuseurs de malware

6

Botnets classiques

11

Botnets Web 2.0

11

Malware Web 2.0

13

Spam et hameçonnage

19

Les menaces de type spam

21

Spam : les tendances

23

Hameçonnage et usurpation d’identité

26

Vulnérabilités, “exploits” et brèches de sécurité

28

Les menaces de type “exploits”

28

Autres risques menaçant la sécurité

29

E-menaces : les prévisions

30

Activité des botnets

30

Applications malveillantes

30

Réseaux de socialisation

30

Autres menaces

31

Systèmes d’exploitation des mobiles

31

Table des figures

32

Avertissement

33

Page 3

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Sommaire

Tandis que 2009 avait été exclusivement placée sous les funestes auspices du vers Conficker, 2010 a vu la tendance s'orienter vers des menaces électroniques utilisant les services Web 2.0 comme principaux vecteurs d'infection. Sachant que le nombre d'utilisateurs de Facebook® a déjà dépassé en volume la population des Etats-Unis d'Amérique, il est facile d'imaginer que les auteurs de logiciels malveillants ont décuplé leurs tentatives d'ouvrir des brèches dans le système de sécurité de ce réseau social pour s'emparer d'une quantité massive d'informations personnelles.

Le Black-hat SEO a également constitué un important vecteur de dissémination de malwares au cours de la première moitié de 2010. Des célébrations populaires, comme la Fête des Mères ou la Saint-Valentin, ou même des catastrophes naturelles, comme la tornade au Guatemala et les glissements de terrains, ont été exploitées à fond par les créateurs de malwares, par l'intermédiaire d'offensives JavaScript, pour déployer de faux antivirus ou installer des portes dérobées sur les ordinateurs d'utilisateurs insouciants. Le Web reste le vecteur privilégié de la propagation de malwares, notamment quand il s'agit des sites de socialisation les plus influents et très fréquentés.

De dangereux exploits zero-day profitant des failles de sécurité de logiciels aussi courants que le navigateur Internet Explorer de Microsoft®, Adobe® Reader®, Adobe® Flash Player® et même Adobe® Photoshop® CS 4, ont également joué un rôle clé dans le paysage des malwares de la première moitié de l'année 2010. Certains exploits d'Internet Explorer ont même été utilisés dans des attaques à l'encontre de sociétés aussi importantes que Google, Adobe® et Rackspace®.

Des chevaux de Troie de type tentatives de chantage (Ransomware) ont fait une percée au cours de la première moitié de 2010. La plupart d'entre eux prenaient pour cible des utilisateurs peer-to-peer, prétextant d'un non-respect des droits d'auteurs pour les menacer de poursuites. Un des exemples illustrant le mieux cette méthode est celui de Trojan.Maer.A, une e-menace véhiculée par les plateformes Torrent dont il sera question plus loin dans ce document.

Les virus contaminateurs de fichiers et destructeurs de données ont fait leur retour au cours des trois premiers mois de 2010. Même si leur activité est restée de très courte durée, leur potentiel destructif a largement compensé cette brièveté, provoquant d'importants dégâts, tant en termes financiers qu'au niveau des données des utilisateurs.

Au cours du premier semestre 2010, les hameçonneurs ont principalement concentré leurs efforts à se faire passer pour Paypal et eBay. La banque HSBC se situe au troisième rang des victimes, Poste Italienne et EGG clôturant la liste des organisations les plus souvent travesties.

Le rythme du spam pharmaceutique a augmenté au cours du 1 er semestre 2010, allant jusqu'à atteindre 66 % de la totalité du spam. Par comparaison, au cours de la seconde moitié de 2009, le spam pharmaceutique n'atteignait "que" 51 %.

Page 4

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Les malwares vedettes

• Les réseaux sociaux et les services Web 2.0 sont devenus au cours des six derniers mois les

principaux canaux de dissémination de malwares. Les auteurs de malwares spéculent sur des événements internationaux et le nom de vedettes du spectacle pour allécher des utilisateurs naïfs à télécharger et exécuter le malware. La Coupe du monde de Football et les glissements de terrains au Guatemala ne sont que deux des nombreux événements utilisés pour optimiser le Black-Hat SEO et améliorer le classement des sites web diffuseurs de malwares.

Trojan.AutorunInf.Gen est l'ennemi numéro un pour la période de janvier à juin 2010. Il représente

11,26% du total des infections dues aux malwares. La technique autorun est massivement utilisée par les créateurs de vers en tant que méthode alternative pour diffuser leurs œuvres via des partages réseau ou des périphériques USB / SB / CF. Parmi les plus célèbres familles de malwares utilisant la fonction autorun de Windows figurent Downadup, Palevo.

• Les vers de messagerie instantanée ont porté les malwares à un niveau inconnu jusqu'à présent.

Worm.P2P.Palevo.DP a attaqué début mai 2010 les utilisateurs non protégés de Yahoo!® Messenger et de Windows Live® Messenger (anciennement MSN® Messenger). La dissémination très agressive du ver s'est

propagée au moyen d'un composant bot capable de continuer de spammer le ver, comme de télécharger

différents logiciels malveillants sur l'ordinateur atteint. Une semaine plus tard, Backdoor.Tofsee se rabattait aussi bien sur les utilisateurs de Skype™ que de Yahoo!® Messenger : ce logiciel malveillant particulièrement

sophistiqué comportait un composant

rootkit 1 pour protéger son code de toute suppression et analyse.

• Les vers MBR ont fait leur retour avec des mécanismes viraux renouvelés. Fin janvier a vu émerger

Win32.Worm.Zumuse.A, combinant dangereusement virus, rootkit et ver. Au cours de l'infection le ver commence par compter les jours. Quarante jours après l'infection 2 , il efface le Master Boot Record du disque

dur, rendant ainsi le système d'exploitation incapable de démarrer.

• Les faux logiciels antivirus ont été munis de nouvelles caractéristiques destinées à contraindre les

utilisateurs à acheter des applications inutiles. Par exemple, les plus récents types de faux antivirus prennent le contrôle total de l'ordinateur de l'utilisateur en limitant l'accès à certaines des applications installées localement (comportement de type “prise d’otage de données”), ou en envoyant des quantités significatives de données à leur base de départ.

• Les messages de type hameçonnage ne représentent plus désormais que 1 % du spam mondial – en baisse par rapport aux 7 % enregistrés au cours de la fin du second semestre 2009.

1 Pour plus d’informations sur Backdoor.Tofsee, veuillez consulter la description suivante :

http://www.malwarecity.com/blog/malware-alert-rootkit-based-skype-worm-opens-backdoors-810.html 2

http://www.malwarecity.com/blog/malware-alert-win32wormzimusea-the-hard-disk-wrecker-736.html

Page 5

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Les menaces de type malware

Tandis que la seconde moitié de 2009 avait été incontestablement dominée par le ver Downadup, les principales menaces des six premiers mois de 2010 ont été de type autorun. Au premier rang des malwares de la première moitié de 2010 figure Trojan.AutorunInf.Gen, un détecteur générique qui intercepte des fichiers autorun.inf hautement dissimulés appartenant à une vaste gamme de familles de malwares.

Les principaux pays diffuseurs de malwares

de malwares. Les principaux pays diffuseurs de malwares Figure 1 : Diffusion de malwares classée par

Figure 1 : Diffusion de malwares classée par pays

Ce camembert illustre le Top 10 du classement des pays qui diffusent le plus de malwares. Au cours des six derniers mois, la Chine a été le pays le plus actif en termes de propagation de malwares, suivie par la Fédération de Russie. Ces deux pays sont connus pour le laxisme de leur législation concernant la cyber- criminalité, comme pour leur hébergement de nombreuses sociétés "protégées" – par exemple Russian Business Network, officiellement fermée (mais en fait toujours très active), Troyak (supprimée en mars 2010), ou PROXIEZ-NET (disparue en mai 2010).

Si la Fédération de Russie et la Chine sont les principaux diffuseurs de Zeus C & C / de packs d’exploits et de

spams pour les médicaments, le Brésil – qui se place au troisième rang- possède une industrie particulière : les

très dangereux chevaux de Troie banquiers, généralement écrits en Delphi diffusent des malwares.

. Les autres pays du classement

3

3 Pour plus de détails sur les attaques de type Brazilian Bankers, Man-in-the-Middle et Man-in-the-Browser, veuillez vous reporter à l'article original de Malware City à l'adresse http://www.malwarecity.com/blog/banker-

trojans-whos-been-spying-on-you-lately-781.html

Page 6

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Le Top malwares Janvier – Juin 2010

01.

TROJAN.AUTORUNINF.GEN

11,26%

02.

Win32.Worm.Downadup.Gen

5,66%

03.

EXPLOIT.PDF-JS.GEN

4,80%

04.

Trojan.Clicker.CM

3,18%

05.

WIN32.SALITY.OG

2,9%

06.

TROJAN.WIMAD.GEN.1

2,68%

07.

EXPLOIT.PDF-PAYLOAD.GEN

2,32%

08.

Trojan.Autorun.AET

2,08%

09.

WORM.AUTORUN.VHG

1,90%

10.

Trojan.FakeAV.KUE

1,76%

11.

AUTRES

6,46%

10. Trojan.FakeAV.KUE 1,76% 11. AUTRES 6,46% Figure 2 : Top 10 des menaces de type malwares

Figure 2 : Top 10 des menaces de type malwares au 1er semestre 2010

1. Trojan.AutorunINF.Gen

Trojan.AutorunINF.Gen se situe au premier rang du classement de BitDefender des malwares du premier semestre, avec un pourcentage de plus de 11 % du montant total des infections. Conçu à l'origine pour faciliter l'installation d'applications présentes sur des supports amovibles, la fonction Autorun de Windows a été utilisée à grande échelle comme moyen d’exécuter automatiquement le malware dès qu'un périphérique USB ou de stockage externe infecté est branché. Contrairement aux fichiers autorun.inf légitimes, ceux utilisés par divers malwares se présentent généralement de manière détournée, comme le montre la figure ci-dessous.

Page 7

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

sur les e-menaces - BitDefender 1 e r semestre 2010 Figure 3 : Fichier autorun.inf malveillant.

Figure 3 : Fichier autorun.inf malveillant. Les commandes essentielles du fichier sont affichées en blanc.

Certains des types de malwares les plus représentatifs de ceux abusant de la propriété autorun sont Win32.Worm.Downadup et ceux de la nouvelle génération des vers peer-to-peer de la famille Palevo.

Avant la sortie du second service pack de Vista, les systèmes d'exploitation Windows suivaient n'importe quelle instruction d'un fichier autorun.inf et exécutaient aveuglément tout fichier binaire désigné par le fichier autorun. Compte tenu des risques auxquels étaient exposés les utilisateurs, Microsoft a ensuite désactivé la fonction autorun de tous les périphériques, à l'exception des disques de type DRIVE_CDROM 4 .

2. Win32.Worm.Downadup.Gen

Au deuxième rang du classement de l'ensemble des infections du premier semestre 2010, Win32.Worm.Downadup.Gen n'a plus besoin d'être présenté : au cours des derniers 18 mois, il a réussi à infecter un nombre inégalé d'ordinateurs dans le monde entier, et a fait les gros titres de toutes les revues d'informatique. Il est évident que ce ver a été créé par une équipe de cyber-criminels professionnels, car il utilise des API Windows peu connues et résiste extrêmement bien à la désinfection. Par exemple, le ver se protège de l'effacement en supprimant toutes les autorisations des fichiers NTFS pour tous les utilisateurs du système, sauf celles se rapportant à execute et directory traversal 5 .

3. Exploit.PDF-JS.Gen

Cet agglomérat d'exploits PDF est classé par BitDefender au troisième rang de sa liste avec 4,80 % du nombre total d'infections. Cette détection générique concerne des fichiers PDF spécialement conçus pour exploiter diverses vulnérabilités existant dans le moteur Javascript d' Adobe® Reader® et exécuter des codes malveillants sur l'ordinateur de l'utilisateur. A l'ouverture d'un fichier PDF infecté, un code Javascript spécialement conçu déclenche à distance le téléchargement de binaires malveillants.

4 Les disques CD-ROM et DVD-ROM sont en lecture par défaut et ne peuvent être infectés une fois gravés.

5 Pour plus d'informations sur le ver Downadup, comme sur notre outil de désinfection gratuit, veuillez visiter le site : http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html

Page 8

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

4. Trojan.Clicker.CM

Trojan.Clicker.CM atteint le score de 3,18 % du nombre total d'ordinateurs infectés. Au cours des six premiers mois de 2010, Clicker.CM a été détecté en particulier sur des sites Web hébergeant des programmes illégaux, comme des crackeurs, des générateurs de clés et de numéros de série destinés à des logiciels à succès. Ce cheval de Troie est notamment utilisé pour imposer des publicités dans des fenêtres popup et ainsi augmenter les profits publicitaires des cyber-criminels.

5. Win32.Sality.OG

La 5ème place, avec 2,90 % des infections provoquées globalement, revient à Win32.Sality.OG. Cette menace électronique est un contaminateur polymorphe de fichiers qui ajoute son code crypté à des fichiers exécutables (binaires .exe et .scr). Il déploie un rootkit et anéantit le logiciel antivirus tournant sur l'ordinateur de façon à dissimuler sa présence sur la machine infectée.

6. Trojan.Wimad.Gen.1

Au 6ème rang du classement de BitDefender des principaux malwares de la première moitié de 2010, Trojan.Wimad.Gen.1 exploite une caractéristique des fichiers ASF et WMV, qui permet à leur créateur de spécifier l’URL où se trouve le codec voulu s’il n’est pas déjà installé sur l’ordinateur. Cependant, au moment de lire le fichier, Windows Media® Player essaie de télécharger et d’installer le codec en question, lequel –dans la plupart des cas- n’est qu’un adware ou un faux antivirus se présentant sous la forme d’une mise à jour de Flash.

se présentant sous la forme d’une mise à jour de Flash. Figure 4 : URLANDEXIT et

Figure 4 : URLANDEXIT et le lien de redirection

La plupart des fichiers vidéo qui exploitent cette caractéristique sont téléchargés sur les sites peer-to-peer ou torrent et se font passer pour des films à succès ou des épisodes longtemps attendus de séries télévisuelles.

7. Exploit.PDF-Payload.Gen

Exploit.PDF-Payload.Gen occupe le 7ème rang du Top 10 des malwares du premier semestre 2010, avec 2,32 % du total des infections. Il s’agit d’une détection générique qui traite les fichiers PDF spécialement conçus pour exploiter les vulnérabilités d'Adobe® Reader®.

8. Trojan.Autorun.AET

Trojan.Autorun.AET est un logiciel malveillant qui se propage dans les dossiers Windows partagés, ou par l’intermédiaire de périphériques amovibles (périphériques de stockage branchés sur le réseau ou disques mappés). Le cheval de Troie exploite la fonction Autorun des systèmes d'exploitation Windows pour s'exécuter automatiquement au moment où un périphérique infecté est branché. Il se situe au huitième rang avec 2,08 % des infections à l'échelle mondiale.

Page 9

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

9. Worm.Autorun.VHG

Worm.Autorun.VHG est un ver Internet/réseau qui exploite la vulnérabilité Windows MS08-067 pour s'exécuter à distance en utilisant un package RPC spécialement conçu (une méthode également utilisée par Win32.Worm.Downadup). Le ver occupe la neuvième place avec 1,9 % de l'ensemble des infections.

10. Trojan.FakeAV.KUE

Trojan.FakeAV.KUE clôture la liste du Top 10 des malwares enregistrés au premier semestre 2010, avec 1,76 % du nombre total d'infections. La détection bloque le code JavaScript utilisé dans les pages web pour déclencher de fausses alertes et simuler des analyses. Ces scripts sont hébergés sur des sites malveillants, mais aussi par des services web légitimes compromis.

Page 10

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Botnets classiques

Les botnets constituent l'ultime outil des auteurs de malware, dans la mesure où ils peuvent pratiquement être utilisés à n'importe quelle fin liée comme l'envoi de spam ou des attaques massives DDoS. Des éléments de botnets sont vendus ou loués pour un projet donné à différents groupes de cybercriminels pour qu'ils puissent construire leurs propres projets.

Au cours de la première moitié de 2010, les botnets les plus importants en termes de taille et d'activité ont été Rustock (dont la taille a presque doublé par rapport au deuxième semestre 2009), Kobcka (14,5 %) et Kolab (11,2 %).

Alors que Rustock possède de multiples couches de protection, y compris un pilote de rootkit et du code hautement crypté, les bots Kobcka téléchargent furtivement leurs composants de spam (les bots CutWail) au démarrage et les injectent dans des processus critiques comme svchost.exe. Cette méthode permet au botnet Kobcka de faire en sorte que les bots Cutwail soient chargés même dans le cas où tous les serveurs Cutwail C & C ont été détruits.

tous les serveurs Cutwail C & C ont été détruits. Figure 5 : Activité des botnets

Figure 5 : Activité des botnets classée par famille de bots

Page 11

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Botnets Web 2.0

Pendant des années, l'utilisation de botnets Web 2.0 a été considérée comme une méthode moins pratique que celle fondée sur le protocole IRC, simplement parce que chaque bot nécessitait l'enregistrement d'un compte séparé auprès du fournisseur du service Web 2.0. Cependant, des développements récents, qui ont débuté en août 2009 et continué de progresser au cours du premier semestre 2010, ont montré que les auteurs de malwares étaient prêts à compenser les défauts technologiques potentiels. Cette année a vu l'émergence du premier botnet viable exploitant Twitter, même s'il est suffisamment primaire pour n'être qualifié que de "preuve de concept".

n'être qualifié que de "preuve de concept". Figure 6 : Faux compte Twitter utilisé pour envoyer

Figure 6 : Faux compte Twitter utilisé pour envoyer des commandes. N.B. Ceci correspond à un compte fictif et n’a rien à voir avec un botnet opérationnel.

Les bots utilisés pour corrompre les PC ont été créés avec un outil expérimental appelé TwitterNET, qui permet à un attaquant de spécifier quel nom d'utilisateur Twitter les bots doivent contrôler pour émettre des commandes. Un autre SDK en circulation comporte des options de configuration supplémentaires relatives aux émissions de commandes.

Il existe deux problèmes principaux à résoudre pour la mise à niveau du SDK mentionné :

A) Le plus faible lien de l'infrastructure d'un botnet Twitter est le compte Twitter infecté ; s'il est suspendu, le

botnet va errer à la recherche de commandes qui ne seront jamais émises.

B) De tels noms d'utilisateurs sont facilement reconnaissables. La Figure 6 montre comment se présente le

compte d'un attaquant après l'émission de plusieurs commandes. Une recherche Twitter sur ".REMOVEALL" fait apparaître tous les comptes compromis qui seront par conséquent suspendus.

Page 12

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

sur les e-menaces - BitDefender 1 e r semestre 2010 Figure 7: La deuxième version de

Figure 7: La deuxième version de l’outil TweBot permet de créer des commandes personnalisées

Les botnets orientés Youtube ont également été repérés en analysant le "bruit de fond" 6 engendré par les commentaires de vidéos spécifiques. Cependant, l'échelle de tels botnets est extrêmement réduite, du fait que –à notre connaissance- il n'existe aucun outil de création de bots publiquement disponible.

6 Ce que l’on appelle le bruit de fond est encodé avec un algorithme base64 pour dissimuler les commandes émisent par le bot contrôleur. Cependant, dans la mesure où les commentaires base64 sont suffisamment suspects et extrêmement faciles à décoder, la méthode ne semble pas devoir devenir efficace à une grande échelle sur Youtube.

Page 13

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Malwares Web 2.0

Au cours du premier semestre 2010, la plupart des malwares s'est disséminé par l'intermédiaire d'Internet, les cyber-criminels s'intéressant particulièrement aux services Web 2.0, comme les réseaux de socialisation, la messagerie instantanée et les sites de partage de fichiers.

Malwares via messageries instantanées

Mai 2010 a été le théâtre d'une série de menaces visant les utilisateurs non protégés de Yahoo!® Instant Messenger et de Skype. Initialement apparu en Roumanie, le ver Delphi Win32.Worm.IM.J allait plus loin qu'un ver YIM se propageant à volonté – le composant de téléchargement intégré laisse la porte ouverte à d'autres menaces à haut risque.

Win32.Worm.Palevo.DS lui a rapidement fait suite et a pris d'assaut les utilisateurs de Yahoo!® Messenger et

de

Windows Live® Messenger (anciennement MSN® Messenger). Ce descendant de la famille Palevo possède

la

propriété de pouvoir détruire le pare-feu Windows, phase critique de l'offensive du malware qui est

déclenchée par le composant spam de Palevo une fois l’infection transmise.

composant spam de Palevo une fois l’infection transmise. Figure 8 : Les messages envoyés par Win32.Worm.P

Figure 8 : Les messages envoyés par Win32.Worm.Palevo.DS pour inciter les utilisateurs à en télécharger un exemplaire.

A la mi-mai, Backdoor.Tofsee a fait un grand retour sous le feu des projecteurs. Cette porte dérobée

incroyablement puissante visait essentiellement les utilisateurs de Skype™ et de Yahoo!® Messenger et seuls les systèmes exécutant l'une ou l'autre de ces applications pouvaient être infectés. Si la porte dérobée ne trouvait ni l'un ni l'autre de ces clients de messagerie instantanée, elle se retirait discrètement et s'effaçait elle- même du système.

Backdoor.Tofsee est protégée par un pilote de rootkit et possède une protection multi-couche qui rend l'analyse et la suppression extrêmement difficile. En dehors de sa dissémination qui s'apparente à celle d'un ver, le mécanisme de Backdoor.Tofsee possède aussi un composant qui permet à un attaquant de prendre à distance le contrôle total de la machine infectée.

Page 14

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

sur les e-menaces - BitDefender 1 e r semestre 2010 Figure 9 : Pour ne pas

Figure 9 : Pour ne pas éveiller la méfiance, le ver n’envoie de messages qu’au moment où des conversations sont en cours.

Page 15

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Malwares Peer-to-Peer

Avril a vu l'émergence d'un nouveau et innovant type de malwares conçu pour soutirer de l'argent à des utilisateurs craintifs en train d'effectuer des téléchargements peer-to-peer. Cette nouvelle menace, identifiée par BitDefender comme étant Trojan.Maer.A, a frappé le web le 11 avril, visant essentiellement les utilisateurs d'ordinateurs téléchargeant des fichiers via des services de partage utilisant le protocole BitTorrent®. A peine installé, le cheval de Troie annonçait qu'il avait détecté un contenu piraté installé dans le système (même sur des systèmes Windows® authentiques à 100 %) et "offraient" de remettre les choses en ordre pour des sommes allant jusqu’à 399,95 dollars.

Pour plus de crédibilité, le cheval de Troie affiche plusieurs logos, dont ceux de la RIAA® et de la MPAA®. Ce malware contient de nombreux liens vers la Fondation ICCP, qui se présente comme étant “un cabinet

juridique qui assiste les détenteurs de droits d’auteur à protéger leur propriété

des “pièces à conviction” sous forme d’une liste de tous les fichiers .torrent que l’utilisateur aurait téléchargé dans le dossier %AppData%.

intellectuelle” 7 . Il affiche aussi

%AppData%. intellectuelle” 7 . Il affiche aussi Figure 10 : Message d’avertissement affiché par le

Figure 10 : Message d’avertissement affiché par le cheval de Troie Trojan.Maer.A.

7 Texte affiché sur la page web (désormais retirée) de cette pseudo-fondation.

Page 16

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Après avoir réussi à infecter le système, le cheval de Troie se comporte comme un faux antivirus classique en affichant de nombreuses fenêtres annonçant une "Violation des droits d'auteur", et en redirigeant les navigateurs vers la page d'accueil de la Fondation ICCP.

Les escroqueries aux pseudo-codecs ne datent plus d'hier, et elles se terminent toujours mal pour l'utilisateur final. L'une des méthodes les plus utilisées pour extorquer de l'argent aux utilisateurs non avertis n'a qu'une

origine : Trojan.Wimad. Ce cheval de Troie particulier se sert d'une caractéristique des fichiers ASF

orienter l'utilisateur vers un site web susceptible de lui fournir le codec adéquat, au cas où il ne serait pas installé sur l’ordinateur.

pour

8

Trojan.Wimad est notamment transmis sur les sites peer-to-peer sous l’apparence de films à succès dont il arrive que la première n’ait même pas encore eu lieu. Dès que l’utilisateur lance le film piraté avec Windows® Media Player, il est redirigé vers un site vendant un lecteur vidéo supposé lui permettre de regarder le film.

Inutile de dire que le film ne sera jamais visible, même après le paiement et l’installation du lecteur en question. Il est intéressant de noter que le coût annoncé est de 0,95 dollars, mais que ce montant ne couvre que trois jours d’essai. Si l’abonnement n’est pas résilié dans les trois jours, l’utilisateur est alors facturé 29,95 dollars par mois.

l’utilisateur est alors facturé 29,95 dollars par mois. Figure 11 : Faux fichier AVI invitant les

Figure 11 : Faux fichier AVI invitant les utilisateurs à acheter divers lecteurs vidéos

L’autre méthode repose également sur une redirection de l’URL vers une page web proposant à l’utilisateur un codec –inexistant- gratuit. Dès que les utilisateurs non avertis installent le codec (en fait l’un des nombreux faux antivirus), ils sont sans cesse sollicités d’acheter la “version complète” du produit.

8 Pour une explication complète du fonctionnement de la famille des Trojan.Wimad consultez le document

http://www.bitdefender.com/VIRUS-1000455-en--Trojan.Wimad.Gen.1.html

Page 17

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Malwares visant les utilisateurs de Facebook®

En tant que plus grand réseau social du monde, Facebook® est constamment dans le collimateur des cyber- criminels qui tentent, soit de récolter le maximum des informations personnelles disponibles dans les profils des utilisateurs, soit d’inciter les détenteurs de compte à participer à différentes manœuvres illicites.

Au cours de la première moitié de 2010, la plupart des incidents de sécurité visant les utilisateurs de Facebook® ont été liés à la prolifération du ver Koobface, à l’augmentation des pratiques de clickjacking, ainsi qu’au déploiement d’adwares par l’intermédiaire d’applications malveillantes visant Facebook®.

d’applications malveillantes visant Facebook®. Figure 12 : Le ver Koobface commence par envoye r des

Figure 12 : Le ver Koobface commence par envoyer des messages à tous les amis des utilisateurs infectés. Le message contient ce qui ressemble à une URL vers une page vidéo, mais aboutit à un fichier exécutable infecté par Koobface.

Après l’apparition début août 2008 d’une variante A assez sommaire affectant uniquement les utilisateurs de

, le ver s’est métamorphosé en une véritable application web avec un potentiel destructeur

inimaginable.

myspace.com

9

Les variantes suivantes du ver étaient modelées différemment de manière à transformer chacune de ses caractéristiques en un module distinct, ce qui le faisait ressembler à un logiciel disponible sur le marché. Win32.Worm.Koobface est rapidement devenu un outil agressif s’attaquant à la plupart des réseaux sociaux, y compris, mais pas exclusivement, à myspace.com, facebook.com, hi5.com, fubar.com, tagged.com, Friendster.com, et twitter.com.

Il a également changé de comportement : de ver qui se contentait de se disséminer parmi les murs ou les profils d’utilisateurs infectés, il s’est transformé en un outil extrêmement dangereux, capable de voler des données, d’intercepter ou de détourner le trafic ou de lancer des campagnes de publicité dans le navigateur des utilisateurs. Au moment de la rédaction de ce rapport, Win32.Worm.Koobface est à l’origine de la création d’un botnet foudroyant organisé au sein d’un réseau très puissant de centres de commande et de contrôle au service de ses maîtres, y compris l’espionnage d’opérations bancaires en ligne et le téléchargement forcé d’utilitaires et faux antivirus sur les systèmes déjà infectés. Le Clickjacking (détournement de clic) a également joué un rôle important dans la dissémination du malware chez les utilisateurs de Facebook®. Cette technique consiste à exploiter une fonctionnalité de Facebook®, qui permet au développeur d’applications d’enregistrer un bouton “j’aime” anonyme sans ajouter des contrôles de

9 La description technique de Koobface.A par BitDefender : http://www.bitdefender.com/VIRUS-1000362-en--

Win32.Worm.KoobFace.A.html

Page 18

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

sécurité supplémentaires. Un iframe caché ou transparent s'installe au-dessus d’un bouton légitime, connu des utilisateurs.

Dès qu'ils cliquent sur ce qu'ils connaissent – généralement une boîte de messagerie – ils sont immédiatement redirigés vers une autre page et priés de remplir des formulaires, de confirmer leurs références, de répondre à quelques questions ou de cliquer sur d'autres liens. Cette page a évidemment un aspect légitime et sûr, au point que l'utilisateur le moins averti techniquement n'a strictement aucune idée de ce qui est en train de se produire.

aucune idée de ce qui est en train de se produire. Figure 13 : Astuce de

Figure 13 : Astuce de clickjacking utilisée pour poster un lien vers un site de sondages sur le mur de la victime

Les attaques de type Cross-Site-Request Forgery (XSRF) ont également contribué à la propagation de divers messages et liens de mur à mur. Ce type d’attaque repose sur des iFrames qui exécutent des scripts dont l’objectif est de manipuler Facebook® pour qu’il écrive un message sur votre mur comme s’il provenait d’un ami. Contrairement aux attaques XSRF précédemment constatées, qui postaient des liens vers des sites de hameçonnage ou de malwares sur le mur des utilisateurs, les pratiques de cette année se sont pour la plupart limitées au postage de publicités.

sont pour la plupart limitées au postage de publicités. Figure 14 : Publicité pour le travail

Figure 14 : Publicité pour le travail à domicile envoyé en masse par la victime, à son insu, via un “exploit” XSRF

Les six premiers mois de 2010 ont vu paraître un certain nombre de nouvelles applications malveillantes conçues pour s’intégrer à Facebook®. Ces applications ne sont ni hébergées ni sanctionnées par Facebook® ; on peut donc facilement imaginer que certaines d’entre elles ont des ordres du jour dissimulés.

Page 19

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Ces applications malveillantes sont généralement remplies d'un contenu factice et de références à des amis pour donner confiance aux victimes et les persuader de la légitimité de ce qu'elles sont sur le point de visiter. La victime arrive habituellement sur la page de l'application en suivant un lien posté sur son mur par un de ses amis compromis. L’application lui demande alors confirmation pour obtenir des données personnelles, envoyer des messages de sa part, et avoir la permission de toujours envoyer ces messages sans redemander de confirmation. L’exemple ci-dessous est celui de l’application “Vidéo du cours de danse” décrite en détail dans l’article de Malware City.

décrite en détail dans l’article de Malware City. Figure 15 : Tutoriel en quatre étapes pour

Figure 15 : Tutoriel en quatre étapes pour l’installation d’une application de type adware à partir d’un lien sur votre mur.

Page 20

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Spam et hameçonnage

Le hameçonnage est incontestablement l'un des secteurs le plus lucratif du spam, notamment quand il vise les clients de banques ou de boutiques en ligne. Cependant, comme les sociétés possédant des sites web et l'industrie anti-malware ont consacré d'importants moyens pour écarter ou bloquer les pages de hameçonnage, les cyber-criminels ont maintenant choisi d'envoyer des messages dont la page litigieuse est jointe au courrier électronique. En outre, dans la mesure où les documents attachés sont beaucoup plus faciles à analyser, au cours d'une vague récente d’hameçonnage Visa®, les questionnaires étaient cryptés par l'intermédiaire de la fonction eval() de Javascript.

l'intermédiaire de la fonction eval() de Javascript. Figure 16 : Hameçonnage Visa à partir d’un formulaire

Figure 16 : Hameçonnage Visa à partir d’un formulaire adressé en pièce jointe au courrier.

La plupart de ces messages sont rédigés dans un anglais assez médiocre, ce qui nous incite à penser que cette vague de spam provenait d'une région d'Europe de l'Est. D'autres attaques classiques d’hameçonnage émanent de packs d’hameçonnage pouvant être troqués sur des forums spécialisés.

pouvant être troqués sur des forums spécialisés. Figure 17 : Page d’hameçonnage HSBC créée à partir

Figure 17 : Page d’hameçonnage HSBC créée à partir d’un kit d’hameçonnage disponible sur certains forums.

Page 21

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Les menaces de type spam

Le spam a constitué l'un des problèmes les plus constants auxquels l'utilisateur d'un ordinateur a eu à faire face au cours du premier semestre 2010. La plupart des messages non sollicités envoyés dans le monde entier ont été les célèbres publicités de Canadian Pharmacy qui ont représenté à peu près 66 % du spam mondial.

Répartition du spam par pays d’origine

Bien que la Russie ait enregistré une légère régression au cours du quatrième trimestre 2009 – principalement à cause de la suppression soudaine des fournisseurs d’hébergement complaisants 10 , elle est rapidement redevenue l'un des trois premiers spammers du top mondial.

Répartition du spam par lieu d’origine - Janvier – Juin 2010

Valeurs actuelles (1er semestre 2010)

Etats-Unis

28,71%

Chine

5,21%

Russie

3,65%

Argentine

2,14%

Royaume-Uni

2,13%

Allemagne

1,84%

Brésil

1,65%

Canada

1,60%

Roumanie

1,58%

Japon

1,50%

Autres

50,00%

Les Etats-Unis d'Amérique et la Chine sont les deux pays les plus prolifiques, en particulier à cause des infestations massives de malwares expéditeurs de spam, comme Rustock, Kobcka et autres spambots.

Le Canada, la Roumanie et le Japon figurent en fin de classement du top du spam du premier semestre 2010, avec une moyenne se situant à 1,5. La majorité du spam émis dans ces trois pays est le résultat de l'activité de groupes importants plutôt que le fait de spammers locaux faisant de la publicité pour leur entreprise.

10 Ces services d’hébergement ont des politiques permissives vis-à-vis des abus. Ils permettent notamment à leur clients d’envoyer / retransmettre du spam et d’utiliser leurs serveurs pour héberger des pages dédiées à l’hameçonnage et au déploiement de malwares.

Page 22

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

.
.

Figure 18 : Répartition du spam par pays d’origine

Répartition du spam par catégories

Au cours du premier semestre 2010, le spam pharmaceutique a constitué la part la plus importante des messages non sollicités envoyés dans le monde entier. Il a également augmenté de façon alarmante, réussissant à passer de 50 à 66 % en seulement six mois. Ce phénomène semble avoir pour origine la Russie, l'Ukraine et la Chine. La plupart de ces spams font de la publicité pour Canadian Pharmacy, une boutique centralisée qui combine fourniture de faux médicaments et escroquerie à la carte bancaire. Le site de Canadian Pharmacy a un nombre invraisemblable de clones hébergés, soit par des sociétés complaisantes en

Chine, soit directement sur les ordinateurs compromis qui font partie de botnets exploitant la technique fast-

flux.

soit directement sur les ordinateurs compromis qui font partie de botnets expl oitant la technique fast-

Page 23

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Les copies de produits arrivent au deuxième rang des principaux secteurs d’activité du spam, représentant presque 7 % de la quantité de spam expédiée dans le monde entier. Ces offres englobent des contrefaçons de marques prestigieuses, en particulier des montres et des accessoires de mode (lunettes de soleil, sacs à main ou de voyage, et bijouterie).

de soleil, sacs à main ou de voyage, et bijouterie). Figure 19 : Site Web de

Figure 19 : Site Web de montres contrefaites promues par spam

La crise économique mondiale a également eu un puissant impact sur la nature du spam, dont presque 5 % concernent des offres d'assurance et de prêts, catégorie qui se situe mondialement au troisième rang.

Le spam contenant des malwares empaquetés a beaucoup diminué, passant de 6 % au deuxième semestre 2009 à seulement 3 % au cours des six premiers mois de 2010. Cependant, les fichiers malveillants attachés sont devenus de plus en plus menaçants : les bots Zeus, les cartes de vœux Waledac et les vers Mabezat.J ne sont que des exemples de manœuvres destructrices qui ont pris d'assaut les boîtes aux lettres des utilisateurs en 2010.

Page 24

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Spam : les tendances

La première moitié de 2010 a vu les messages spam atteindre 86,2 % du nombre total de messages électroniques envoyés dans le monde. Le spam textuel reste la forme la plus répandue des messages non sollicités, bien qu'on ait constaté tout au long du premier trimestre quelques pointes de spam image. La plupart des messages contenant des images sont des publicités pour les produits pharmaceutiques canadiens et sont d’une taille allant de 6 à 12 Ko. La taille moyenne des messages textuels tourne autour de 5,5 Ko.

moyenne des messages textuels tourne autour de 5,5 Ko. Figure 20 : Le spam proposant des

Figure 20 : Le spam proposant des comprimés représente la majeure partie du courrier non sollicité contenant des images.

Des célébrations internationales, comme le jour de la Saint-Valentin, ou des événements de grande portée (la coupe du monde de football par exemple) ont été exploités par l'envoi de messages ciblés véhiculant des malwares (notamment les bots Waledac déguisés en cartes de vœux) ou conduisant vers des sites web d’hameçonnage vendant de faux billets pour la coupe du monde.

D'autres messages spam véhiculent des documents attachés DOC ou PDF ayant l'apparence de formulaires d'imposition, d'offres d'emploi, ou même de notifications de transactions bancaires, qui, une fois ouverts, profitent d’exploits zero-day identifiés dans les logiciels du commerce pour exécuter un code arbitraire sur l’ordinateur des utilisateurs.

Page 25

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

sur les e-menaces - BitDefender 1 e r semestre 2010 Figure 21 : Fichier exécutable imbriqué

Figure 21 : Fichier exécutable imbriqué déguisé en document anodin imitant un relevé bancaire

La catastrophe climatique au Guatemala a également incité les spammers comme les auteurs de malwares à tabler sur la curiosité des utilisateurs et à les mystifier en les dirigeant vers des pages téléchargeant des malwares. Les pages Black-SEO concernant les glissements de terrains au Guatemala ont été ajoutées à un nombre impressionnant de sites web piratés. Visiter une de ces pages redirigeait la victime vers le faux antivirus Rither ou des exploits zero-day Adobe PDF.

faux antivirus Rither ou des exploits zero-day Adobe PDF. Figure 22 : Page piratée d’une soci

Figure 22 : Page piratée d’une société, optimisée pour profiter du trafic engendré par l’intérêt porté aux glissements de terrains au Guatemala.

Page 26

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Hameçonnage et usurpation d’identité

Le hameçonnage, la plus nuisible espèce de spam, a poursuivi son évolution au cours des premiers mois de 2010, bien que beaucoup d'hébergeurs de sites web et de moteurs de recherche aient multiplié leurs efforts pour bloquer les pages dangereuses.

leurs efforts pour bloquer les pages dangereuses. Figure 23 : Les organismes les plus touchés par

Figure 23 : Les organismes les plus touchés par l’hameçonnage au cours du 1er semestre 2010

Au cours de la première moitié de l'année, les organismes financiers ont été la cible préférée des cyber- criminels, et destinataires de plus de 70 % des messages de hameçonnage. Les réseaux sociaux ont également été en ligne de mire, car les profils des utilisateurs sont des sources d'informations faciles d'accès et les comptes compromis peuvent être efficacement utilisés pour lancer des attaques d’hameçonnage.

utilisés pour lancer des attaques d’hameçonnage. Figure 24 : Page PayPal d’hameçonnage. Afin d’être

Figure 24 : Page PayPal d’hameçonnage. Afin d’être plus crédible, le pirate a créé un dossier appelé www.paypal.fr qui contient effectivement le formulaire d’hameçonnage.

Page 27

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

La plupart des messages de hameçonnage spammés pendant le premier trimestre 2010 étaient rédigés en anglais (75 % de tous ceux traités par BitDefender), suivi par le français (13 %) et le suédois (3%). Le russe arrive en quatrième position avec à peine 2 %, le dernier rang revenant à des messages non sollicités écrits en bulgare, représentant 0,42 % de l'ensemble des messages de cette catégorie.

Les hébergeurs les plus accueillants pour les hameçonneurs se trouvent en Russie et en République Tchèque, qui hébergent presque 50 % des pages concernées. Les sociétés écrans opérant en Russie procurent hébergement et serveurs de spam à des organisations cyber-criminelles internationales impliquées dans l’hameçonnage, le spam, les faux antivirus tout en accueillant des centres de commandes et de contrôles de botnets comme Zeus, Pushdo et Rustock.

et de contrôles de botnets comme Zeus, Pushdo et Rustock. Figure 25 : Principaux pays hébergeurs

Figure 25 : Principaux pays hébergeurs de pages d’hameçonnage

Bien qu'ils fassent partie des victimes les plus convoitées par les cyber-attaquants, les organismes financiers ne sont pas les seuls à souffrir du hameçonnage. Les communautés de jeux en ligne comme Steam® et World of Warcraft® sont aussi l'objet de l'intérêt des hameçonneurs.

Une fois qu'ils ont réussi leur attaque et obtenu les données de connexion, non seulement les attaquants ont accès aux coordonnées de la carte bancaire stockées pour facturation, mais ils peuvent également vendre, commercialiser ou transférer les données de la victime concernée.

Page 28

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

sur les e-menaces - BitDefender 1 e r semestre 2010 Figure 26 : Page d’hameçonnage de

Figure 26 : Page d’hameçonnage de Steam en attente des données de l’utilisateur

Page 29

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Vulnérabilités, « exploits » et brèches de sécurité

Comparés aux six derniers mois de 2009, les six premiers de 2010 ont été extrêmement riches en exploits zero-day, qui allaient de l'exploitation de vulnérabilités critiques de composants de Microsoft® (Windows® Internet Explorer® versions 6 à 8) à des bogues dans des logiciels tiers comme Adobe® PDF et Adobe® Flash Player entre autres.

Les menaces de type exploits

Janvier a vu surgir CVE-2010-0249, un exploit zero-day de Windows® Internet Explorer® qui a profité d'une vulnérabilité liée à une corruption de mémoire affectant toutes les versions, sauf la version 5.01, du Service Pack 4 de Microsoft Windows 2000.

Intercepté par BitDefender sous le nom de Exploit.Comele.A, ce bogue zero-day a été largement utilisé pour déclencher une cyber-attaque à grande échelle nommée Operation Aurora. Parmi les organismes qui ont

, Adobe Systems Inc., Juniper Networks Inc.

officiellement reconnu en avoir été victimes, on trouve Google™ et Rackspace Ltd.

11

D'après Google, l'exploit n'était pas simplement la recherche d'informations mais faisait partie d'un plan concerté d'offensives impliquant des aspects politiques et financiers. En outre, le code de l'exploit est tombé dans le domaine public avant que Microsoft® ait pu avoir la moindre chance de publier un correctif, ce qui a entraîné la conduite d'autres attaques entreprises par ceux qui avaient eu accès au code de l'exploit.

En janvier a également été décelée une deuxième importante vulnérabilité, concernant Adobe® Reader®. Egalement connue sous le nom de CVE –2009-4324, cette brèche a affecté Adobe® Reader® et Acrobat 9.2 et des versions antérieures, et cette exploitation a entraîné des crashes, l’exécution à distance de code ainsi que la possibilité d’effectuer des attaques par script d’un site à l’autre.

CVE-2009-4324 exploite une erreur dans l'implémentation de la méthode “Doc.media.newPlayer()” de JavaScript, qui permet de corrompre la mémoire quand un fichier PDF spécialement conçu est lancé. Le vendeur a émis le 12 janvier un correctif pour atténuer les conséquences d'attaques futures fondées sur cette méthode JavaScript particulière.

Le mois de juin a été riche en surprises en termes de sécurité, les produits Adobe® constituant la cible principale. Comme beaucoup d’autres bogues zero-day visant Adobe® Reader®, le vecteur d’attaque de CVE- 2010-1297 se présentait comme un fichier PDF anormal contenant un code JavaScript spécialement conçu et un fichier .SWF imbriqué.

L’exploit utilise le JavaScript imbriqué pour décrypter un script de shellcode, et permet l’exécution de code arbitraire à distance. Pour que l'attaque réussisse, il est nécessaire que le fichier authplay.dll soit présent sur le système ciblé.

11 Le gigantesque moteur de recherche a confirmé et décrit l'attaque dans un article intitulé "Une nouvelle approche de la Chine" posté sur le blog officiel de la société.

Page 30

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Autres risques menaçant la sécurité

La fin du mois d’avril a été marquée par une attaque majeure contre une vaste gamme de logiciels CMS hébergés par différents fournisseurs. Des milliers de possesseurs de sites web ont vu leur système de gestion de contenu favori compromis par des fonctions encodées base64 injectées dans des pages PHP. A chaque fois, les instructions base64 redirigeaient le visiteur vers des sites web hébergeant de faux antivirus, mais uniquement quand le visiteur était arrivé sur le site via un moteur de recherche. Cette technique permettait au script de rester indécelable par tous les visiteurs accédant directement au site (y compris les administrateurs), tout en dirigeant l’ensemble du trafic en provenance des moteurs de recherche vers des pages web chargées de malwares.

Les premières théories prétendaient que les sites web affectés tournaient sous des versions obsolètes et vulnérables de WordPress et sur des serveurs d'une société hôte particulière. Mais, deux jours plus tard, d'autres plateformes CMS utilisant le PHP, hébergées par des fournisseurs différents, étaient victimes du même genre d'infestation de fichiers. Des études ultérieures ont montré que la mauvaise configuration du serveur, associée à une attribution erronée des droits d’accès aux fichiers, avait joué un rôle majeur dans le succès de l'attaque.

Page 31

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

E-menaces : les prévisions

Alors que les six premier mois de l’année 2010 ont été dominés par des e-menaces traditionnelles, telles que les chevaux de Troie et les vers, des exploits visant des applications tierces ont gagné du terrain, à la fois en nombre et en conséquences. Comme dans le cas de Exploit.Comele.A, les vulnérabilités zero-day peuvent être utilisées à des fins qui vont au-delà du vol d'identité ou de coordonnées bancaires, pour atteindre la puissance de véritables armes de guerre cybernétique et d'un espionnage industriel de haut niveau.

Activité des botnets

Les botnets constituant des mécanismes clés dans n'importe quelle infrastructure cyber-criminelle, leur développement et l'amélioration de leurs capacités va devenir la préoccupation principale des auteurs de malware. Cependant, dans la mesure où les botnets sont la plupart du temps dans la ligne de mire des

autorités internationales et des fournisseurs de services Internet (comme le prouve la fermeture du botnet Mariposa (également connu sous les noms de Rimecud et Palevo)), des bots maîtres seront nécessaires pour expérimenter de nouvelles méthodes de coordination.

• L'émergence récente d'outils de création de botnets, contrôlables via Twitter, pourrait constituer la pierre angulaire de la naissance d'une lignée extrêmement prolifique d'ordinateurs zombis.

• Les botnets fast-flux vont également gagner du terrain, car de plus en plus d'hébergeurs de sites web

ferment les comptes contenant des pages de hameçonnage, des packs d'exploits ou des applications expéditrices de spam. Non seulement les botnets fast-flux n’ont pas besoin d’hébergeurs complaisants, mais il est difficile aux autorités de trouver l’origine exacte de l'attaquant.

Applications malveillantes

Le premier semestre 2010 a vu réapparaître d'anciens types de malwares : des ransomwares et des virus qui écrasent le MBR des systèmes. Trojan.Maer.A, Application.Scareware.Keytz et différents autres au parfum de faux antivirus, ne sont que quelques-unes des applications qui poussent les utilisateurs à verser de l'argent pour ranimer leur ordinateur et qu'il fonctionne de nouveau. BitDefender estime que les faux antivirus de type ransomware vont se multiplier au cours de la seconde moitié de 2010 pour piéger leurs victimes en les convainquant d'acheter la "version complète".

Réseaux de socialisation

Facebook dépassant 500 millions d'utilisateurs, de nombreux auteurs de malwares vont s'intéresser à la plateforme de ce réseau social pour y exercer leur puissance. Certaines de ces attaques vont consister à utiliser des astuces d’ingénierie sociale (par exemple à lancer des offensives variées à partir d'ordinateurs infectés), et d'autres vont tenter d'exploiter les différentes vulnérabilités ou fonctions déjà présentes sur la plateforme.

Les fuites de données personnelles vont contribuer massivement au succès de certaines attaques, en particulier quand ces données sont corroborées par des blogs personnels, des C.V. et d’autres renseignements pertinents. On peut également s'attendre à ce que des applications tierces jouent un rôle important dans les abus ciblant les réseaux sociaux.

Page 32

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Autres menaces

Les logiciels déplombés et non authentiques vont également jouer un rôle clé dans la propagation de divers malwares. D'une part, la plupart des mécanismes destinés à contourner la protection des logiciels du commerce téléchargeables sur les portails “warez” contiennent déjà différents types de malwares, allant des keyloggers aux portes dérobées. D'autre part, des copies non conformes du système d'exploitation Windows® ne peuvent pas recevoir les dernières mises à jour de sécurité, ce qui laisse les ordinateurs qui les font tourner sans protection contre les prochains exploits zero-day et les vulnérabilités que l'on doit s'attendre à voir se manifester au cours des six prochains mois.

Systèmes d'exploitation des mobiles

Au cours de la seconde moitié de 2010, les menaces contre les mobiles vont encore rester rares, notamment du fait de la grande diversité de téléphones et de systèmes d'exploitation. Le Maemo de Google va continuer de bénéficier d'un parcours sécurisé, à la fois parce qu'il est construit sur une plateforme solide, dérivée de Debian Linux, et qu'il n'a pas réussi à devenir l'un des trois premiers systèmes d'exploitation pour mobiles disponibles.

A l'inverse, le Symbian de Nokia va probablement être le plus exposé aux malwares. D'après le cabinet d’études Gartner, le système d'exploitation Symbian détient actuellement 44 % des parts du marché des téléphones mobiles, ce qui en fait une cible intéressante.

Page 33

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Table des figures

Figure 1 : Diffusion de malwares classée par pays

6

Figure 2 : Top 10 des menaces de type malwares au 1er semestre 2010

7

Figure 3 : Fichier autorun.inf malveillant. Les commandes essentielles du fichier sont affichées en

8

Figure 4 : URLANDEXIT et le lien de redirection

10

Figure 5 : Activité des botnets classée par famille de bots

11

Figure 6 : Faux compte Twitter utilisé pour envoyer des commandes. N.B. Ceci correspond à un compte fictif et n’a rien à voir avec un botnet

12

Figure 7 : La deuxième version de l’outil TweBot permet de créer des commandes personnalisées

Figure 8 : Les messages envoyés par Win32.Worm.Palevo.DS pour inciter les utilisateurs à en télécharger un

13

14

Figure 9 : Pour ne pas éveiller la méfiance, le ver n’envoie de messages qu’au moment où des conversations

sont en

14

Figure 10 : Message d’avertissement affiché par le cheval de Troie

15

Figure 11 : Faux fichier AVI invitant les utilisateurs à acheter divers lecteurs vidéos

16

Figure 12 : Le ver Koobface commence par envoyer des messages à tous les amis des utilisateurs infectés. Le message contient ce qui ressemble à une URL vers une page vidéo, mais aboutit à un fichier exécutable

infecté par

17

Figure 13 : Astuce de clickjacking utilisée pour poster un lien vers un site de sondages sur le mur de la

18

Figure 14 : Publicité pour le travail à domicile envoyé en masse par la victime à son insu via un “exploit” XSRF.

18

Figure 15 : Tutoriel en quatre étapes pour l’installation d’une application de type adware à partir d’un lien sur

votre

19

Figure 16 : Hameçonnage Visa à partir d’un formulaire adressé en pièce jointe au

20

Figure 17 : Page d’hameçonnage HSBC créée à partir d’un kit d’hameçonnage disponible sur certains forums.

 

20

Figure 18 : Répartition du spam par pays d’origine

22

Figure 19 : Site Web de montres contrefaites promues par spam

23

Figure 20 : Le spam proposant des comprimés représente la majeure partie du courrier non sollicité contenant

des images

24

Figure 21 : Fichier exécutable imbriqué déguisé en document anodin imitant un relevé bancaire

25

Figure 22 : Page piratée d’une société, optimisée pour profiter du trafic engendré par l’intérêt porté aux

glissements de terrains au Guatemala

25

Figure 23 : Les organismes les plus touchés par l’hameçonnage au cours du 1er semestre 2010

26

Figure 24 : Page PayPal d’hameçonnage. Afin d’être plus crédible, le pirate a créé un dossier appelé

www.paypal.fr qui contient effectivement le formulaire d’hameçonnage

26

Figure 25 : Principaux pays hébergeurs de pages d’hameçonnage

27

Figure 26 : Page d’hameçonnage de Steam en attente des données de l’utilisateur

28

Page 34

Rapport sur les e-menaces - BitDefender 1 er semestre 2010

Avertissement

Les informations et les données exposées dans ce document reflètent le point de vue de BitDefender® sur les sujets abordés au moment de sa rédaction. Ce document et les informations qu'il contient ne peuvent en aucun cas être interprétés comme un engagement ou engagement ou un contrat de quelque nature que ce soit.

Bien que toutes les précautions aient été prises dans l'élaboration de ce document, l'éditeur, les auteurs et les collaborateurs dénient toute responsabilité pour erreurs et/ou omissions éventuelles. Pas plus qu'ils n'assument une responsabilité quelconque pour des dommages consécutifs à l'utilisation des informations qu'il contient. De plus, les informations contenues dans ce document sont susceptibles d'être modifiées sans avertissement préalable. BitDefender, l'éditeur, les auteurs et les collaborateurs ne peuvent garantir la poursuite de la diffusion de ce type d'informations ni d'éventuels correctifs.

Ce document et les données qu'il contient sont publiés à titre purement informatif. BitDefender, l'éditeur, les auteurs et les collaborateurs ne donnent aucune garantie expresse, implicite ou légale relatives aux informations publiées dans ce document.

Le contenu de ce document peut ne pas être adapté à toutes les situations. Si une assistance professionnelle est nécessaire, les services d'une personne compétente doivent être sollicités. Ni BitDefender, ni les éditeurs du document, ni les auteurs ni les collaborateurs ne peuvent être tenus pour responsables des préjudices pouvant résulter d'une telle consultation.

Le fait qu'une personne ou une organisation, un travail individuel ou collectif, y compris des textes imprimés, des documents électroniques, des sites web, etc., soient mentionnés dans ce document en tant que référence et/ou source d'information actuelle ou future, ne signifie pas que BitDefender, l'éditeur du document, les auteurs ou les collaborateurs avalisent les informations ou les recommandations que peuvent fournir la personne, l'organisation, les travaux individuels ou collectifs, y compris les textes imprimés, les documents électroniques, les sites web, etc.

Les lecteurs doivent également savoir que BitDefender, l'éditeur du document, les auteurs ou les collaborateurs ne peuvent garantir l'exactitude d'aucune des informations données dans ce document au-delà de sa date de publication, y compris, mais non exclusivement, les adresses web et les liens Internet indiqués dans ce document qui peuvent avoir changé ou disparu entre le moment où ce travail a été écrit et publié et le moment où il est lu.

Les lecteurs ont la responsabilité pleine et entière de se conformer à toutes les lois internationales applicables au copyright émanant de ce document. Les droits relevant du copyright restant applicables, aucune partie de ce document ne peut être reproduite, mise en mémoire ou introduite dans un système de sauvegarde, ni transmise sous aucune forme ni par aucun moyen (électronique physique, reprographique, d'enregistrement, ou autres procédés), ni pour quelque but que ce soit, sans l'autorisation expresse écrite de BitDefender.

BitDefender peut posséder des brevets, des brevets déposés, des marques, des droits d'auteur, ou d'autres droits de propriété intellectuelle se rapportant au contenu de ce document. Sauf accord express de BitDefender inscrit dans un contrat de licence, ce document ne donne aucun droit sur ces brevets, marques, copyrights, ou autre droit de propriété intellectuelle.

Tous les autres noms de produits ou d'entreprises mentionnés dans ce document le sont à titre purement informatif et sont et restent la propriété de, et peuvent être des marques de, leurs propriétaires respectifs.

Copyright © 2010 BitDefender . Tous droits réservés.

Page 35