SlideShare ist ein Scribd-Unternehmen logo
1 von 35
Downloaden Sie, um offline zu lesen
MALWARE ET SPAM : LES TENDANCES
Rapport sur les e-menaces
 er
1 semestre 2010




                   BitDefender - Editions Profil - Juillet 2010

                                         www.BitDefender.fr
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Auteur
Bogdan BOTEZATU, Spécialiste en communication

Collaborateurs
Loredana BOTEZATU, Spécialiste en communication – Menaces de types Malware et Web 2.0
Daniel CHIPIRIŞTEANU, Analyste Malware
Dragoş GAVRILUŢ, Analyste Malware
Alexandru Dan BERBECE - Administrateur de la base de données
Adrian MIRON - Analyste Spam
Irina RANCEA - Analyste Hameçonnage




                                           Page 2
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Table des matières 
Rapport sur les e-menaces au 1er semestre 2010 .....................................................................................                             1
Table des matières......................................................................................................................................         3
Introduction..................................................................................................................................................   4
Les malwares vedettes.............................................................................................................................               5
Les menaces de type malware....................................................................................................................                  6
Les principaux pays diffuseurs de malware.................................................................................................                       6
Botnets classiques.....................................................................................................................................          11
Botnets Web 2.0.........................................................................................................................................         11
Malware Web 2.0 ......................................................................................................................................           13
Spam et hameçonnage............................................................................................................... ...............               19
Les menaces de type spam........................................................................................................................                 21
Spam : les tendances.................................................................................................................................            23
Hameçonnage et usurpation d’identité.......................................................................................................                      26
Vulnérabilités, “exploits” et brèches de sécurité........................................................................................                        28
Les menaces de type “exploits”............................................................................................................ .....                 28
Autres risques menaçant la sécurité                        .................................................................................................     29
E-menaces : les prévisions........................................................................................................................               30
Activité des botnets....................................................................................................................................         30
Applications malveillantes..........................................................................................................................             30
Réseaux de socialisation...........................................................................................................................              30
Autres menaces.........................................................................................................................................          31
Systèmes d’exploitation des mobiles..........................................................................................................                    31
Table des figures........................................................................................................................................        32
Avertissement.............................................................................................................................................       33




                                                                          Page 3
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Sommaire
Tandis que 2009 avait été exclusivement placée sous les funestes auspices du vers Conficker, 2010 a vu la
tendance s'orienter vers des menaces électroniques utilisant les services Web 2.0 comme principaux vecteurs
d'infection. Sachant que le nombre d'utilisateurs de Facebook® a déjà dépassé en volume la population des
Etats-Unis d'Amérique, il est facile d'imaginer que les auteurs de logiciels malveillants ont décuplé leurs
tentatives d'ouvrir des brèches dans le système de sécurité de ce réseau social pour s'emparer d'une quantité
massive d'informations personnelles.

Le Black-hat SEO a également constitué un important vecteur de dissémination de malwares au cours de la
première moitié de 2010. Des célébrations populaires, comme la Fête des Mères ou la Saint-Valentin, ou
même des catastrophes naturelles, comme la tornade au Guatemala et les glissements de terrains, ont été
exploitées à fond par les créateurs de malwares, par l'intermédiaire d'offensives JavaScript, pour déployer de
faux antivirus ou installer des portes dérobées sur les ordinateurs d'utilisateurs insouciants. Le Web reste le
vecteur privilégié de la propagation de malwares, notamment quand il s'agit des sites de socialisation les plus
influents et très fréquentés.

De dangereux exploits zero-day profitant des failles de sécurité de logiciels aussi courants que le navigateur
Internet Explorer de Microsoft®, Adobe® Reader®, Adobe® Flash Player® et même Adobe® Photoshop® CS 4, ont
également joué un rôle clé dans le paysage des malwares de la première moitié de l'année 2010. Certains
exploits d'Internet Explorer ont même été utilisés dans des attaques à l'encontre de sociétés aussi importantes
que Google, Adobe® et Rackspace®.

Des chevaux de Troie de type tentatives de chantage (Ransomware) ont fait une percée au cours de la
première moitié de 2010. La plupart d'entre eux prenaient pour cible des utilisateurs peer-to-peer, prétextant
d'un non-respect des droits d'auteurs pour les menacer de poursuites. Un des exemples illustrant le mieux
cette méthode est celui de Trojan.Maer.A, une e-menace véhiculée par les plateformes Torrent dont il sera
question plus loin dans ce document.

Les virus contaminateurs de fichiers et destructeurs de données ont fait leur retour au cours des trois premiers
mois de 2010. Même si leur activité est restée de très courte durée, leur potentiel destructif a largement
compensé cette brièveté, provoquant d'importants dégâts, tant en termes financiers qu'au niveau des données
des utilisateurs.

Au cours du premier semestre 2010, les hameçonneurs ont principalement concentré leurs efforts à se faire
passer pour Paypal et eBay. La banque HSBC se situe au troisième rang des victimes, Poste Italienne et EGG
clôturant la liste des organisations les plus souvent travesties.

Le rythme du spam pharmaceutique a augmenté au cours du 1er semestre 2010, allant jusqu'à atteindre 66 %
de la totalité du spam. Par comparaison, au cours de la seconde moitié de 2009, le spam pharmaceutique
n'atteignait "que" 51 %.




                                                 Page 4
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Les malwares vedettes
•        Les réseaux sociaux et les services Web 2.0 sont devenus au cours des six derniers mois les
principaux canaux de dissémination de malwares. Les auteurs de malwares spéculent sur des événements
internationaux et le nom de vedettes du spectacle pour allécher des utilisateurs naïfs à télécharger et exécuter
le malware. La Coupe du monde de Football et les glissements de terrains au Guatemala ne sont que deux
des nombreux événements utilisés pour optimiser le Black-Hat SEO et améliorer le classement des sites web
diffuseurs de malwares.

•       Trojan.AutorunInf.Gen est l'ennemi numéro un pour la période de janvier à juin 2010. Il représente
11,26% du total des infections dues aux malwares. La technique autorun est massivement utilisée par les
créateurs de vers en tant que méthode alternative pour diffuser leurs œuvres via des partages réseau ou des
périphériques USB / SB / CF. Parmi les plus célèbres familles de malwares utilisant la fonction autorun de
Windows figurent Downadup, Palevo.

•        Les vers de messagerie instantanée ont porté les malwares à un niveau inconnu jusqu'à présent.
Worm.P2P.Palevo.DP a attaqué début mai 2010 les utilisateurs non protégés de Yahoo!® Messenger et de
Windows Live® Messenger (anciennement MSN® Messenger). La dissémination très agressive du ver s'est
propagée au moyen d'un composant bot capable de continuer de spammer le ver, comme de télécharger
différents logiciels malveillants sur l'ordinateur atteint. Une semaine plus tard, Backdoor.Tofsee se rabattait
aussi bien sur les utilisateurs de Skype™ que de Yahoo!® Messenger : ce logiciel malveillant particulièrement
sophistiqué comportait un composant rootkit1 pour protéger son code de toute suppression et analyse.

•       Les vers MBR ont fait leur retour avec des mécanismes viraux renouvelés. Fin janvier a vu émerger
Win32.Worm.Zumuse.A, combinant dangereusement virus, rootkit et ver. Au cours de l'infection le ver
commence par compter les jours. Quarante jours après l'infection2, il efface le Master Boot Record du disque
dur, rendant ainsi le système d'exploitation incapable de démarrer.

•        Les faux logiciels antivirus ont été munis de nouvelles caractéristiques destinées à contraindre les
utilisateurs à acheter des applications inutiles. Par exemple, les plus récents types de faux antivirus prennent le
contrôle total de l'ordinateur de l'utilisateur en limitant l'accès à certaines des applications installées localement
(comportement de type “prise d’otage de données”), ou en envoyant des quantités significatives de données à
leur base de départ.

•       Les messages de type hameçonnage ne représentent plus désormais que 1 % du spam mondial – en
baisse par rapport aux 7 % enregistrés au cours de la fin du second semestre 2009.




1
  Pour plus d’informations sur Backdoor.Tofsee, veuillez consulter la description suivante :
http://www.malwarecity.com/blog/malware-alert-rootkit-based-skype-worm-opens-backdoors-810.html
2
  http://www.malwarecity.com/blog/malware-alert-win32wormzimusea-the-hard-disk-wrecker-736.html


                                                   Page 5
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Les menaces de type malware
Tandis que la seconde moitié de 2009 avait été incontestablement dominée par le ver Downadup, les
principales menaces des six premiers mois de 2010 ont été de type autorun. Au premier rang des malwares de
la première moitié de 2010 figure Trojan.AutorunInf.Gen, un détecteur générique qui intercepte des fichiers
autorun.inf hautement dissimulés appartenant à une vaste gamme de familles de malwares.

Les principaux pays diffuseurs de malwares




Figure 1 : Diffusion de malwares classée par pays

Ce camembert illustre le Top 10 du classement des pays qui diffusent le plus de malwares. Au cours des six
derniers mois, la Chine a été le pays le plus actif en termes de propagation de malwares, suivie par la
Fédération de Russie. Ces deux pays sont connus pour le laxisme de leur législation concernant la cyber-
criminalité, comme pour leur hébergement de nombreuses sociétés "protégées" – par exemple Russian
Business Network, officiellement fermée (mais en fait toujours très active), Troyak (supprimée en mars 2010),
ou PROXIEZ-NET (disparue en mai 2010).


Si la Fédération de Russie et la Chine sont les principaux diffuseurs de Zeus C & C / de packs d’exploits et de
spams pour les médicaments, le Brésil – qui se place au troisième rang- possède une industrie particulière : les
très dangereux chevaux de Troie banquiers, généralement écrits en Delphi3. Les autres pays du classement
diffusent des malwares.




3
  Pour plus de détails sur les attaques de type Brazilian Bankers, Man-in-the-Middle et Man-in-the-Browser,
veuillez vous reporter à l'article original de Malware City à l'adresse http://www.malwarecity.com/blog/banker-
trojans-whos-been-spying-on-you-lately-781.html


                                                 Page 6
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Le Top malwares Janvier – Juin 2010
01.                          TROJAN.AUTORUNINF.GEN         11,26%
02.                          Win32.Worm.Downadup.Gen       5,66%
03.                          EXPLOIT.PDF-JS.GEN            4,80%
04.                          Trojan.Clicker.CM             3,18%
05.                          WIN32.SALITY.OG               2,9%
06.                          TROJAN.WIMAD.GEN.1            2,68%
07.                          EXPLOIT.PDF-PAYLOAD.GEN       2,32%
08.                          Trojan.Autorun.AET            2,08%
09.                          WORM.AUTORUN.VHG              1,90%
10.                          Trojan.FakeAV.KUE             1,76%
11.                          AUTRES                        6,46%




Figure 2 : Top 10 des menaces de type malwares au 1er semestre 2010
1. Trojan.AutorunINF.Gen
Trojan.AutorunINF.Gen se situe au premier rang du classement de BitDefender des malwares du premier
semestre, avec un pourcentage de plus de 11 % du montant total des infections. Conçu à l'origine pour faciliter
l'installation d'applications présentes sur des supports amovibles, la fonction Autorun de Windows a été utilisée
à grande échelle comme moyen d’exécuter automatiquement le malware dès qu'un périphérique USB ou de
stockage externe infecté est branché. Contrairement aux fichiers autorun.inf légitimes, ceux utilisés par divers
malwares se présentent généralement de manière détournée, comme le montre la figure ci-dessous.




                                                 Page 7
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Figure 3 : Fichier autorun.inf malveillant. Les commandes essentielles du fichier sont affichées en
blanc.

Certains des types de malwares les plus représentatifs de ceux abusant de la propriété autorun sont
Win32.Worm.Downadup et ceux de la nouvelle génération des vers peer-to-peer de la famille Palevo.

Avant la sortie du second service pack de Vista, les systèmes d'exploitation Windows suivaient n'importe quelle
instruction d'un fichier autorun.inf et exécutaient aveuglément tout fichier binaire désigné par le fichier autorun.
Compte tenu des risques auxquels étaient exposés les utilisateurs, Microsoft a ensuite désactivé la fonction
autorun de tous les périphériques, à l'exception des disques de type DRIVE_CDROM4.

2. Win32.Worm.Downadup.Gen
Au deuxième rang du classement de l'ensemble des infections du premier semestre 2010,
Win32.Worm.Downadup.Gen n'a plus besoin d'être présenté : au cours des derniers 18 mois, il a réussi à
infecter un nombre inégalé d'ordinateurs dans le monde entier, et a fait les gros titres de toutes les revues
d'informatique. Il est évident que ce ver a été créé par une équipe de cyber-criminels professionnels, car il
utilise des API Windows peu connues et résiste extrêmement bien à la désinfection.
Par exemple, le ver se protège de l'effacement en supprimant toutes les autorisations des fichiers NTFS pour
tous les utilisateurs du système, sauf celles se rapportant à execute et directory traversal5.




3. Exploit.PDF-JS.Gen
Cet agglomérat d'exploits PDF est classé par BitDefender au troisième rang de sa liste avec 4,80 % du nombre
total d'infections. Cette détection générique concerne des fichiers PDF spécialement conçus pour exploiter
diverses vulnérabilités existant dans le moteur Javascript d' Adobe® Reader® et exécuter des codes
malveillants sur l'ordinateur de l'utilisateur. A l'ouverture d'un fichier PDF infecté, un code Javascript
spécialement conçu déclenche à distance le téléchargement de binaires malveillants.


4
  Les disques CD-ROM et DVD-ROM sont en lecture par défaut et ne peuvent être infectés une fois gravés.
5
   Pour plus d'informations sur le ver Downadup, comme sur notre outil de désinfection gratuit, veuillez visiter le
site : http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html



                                                  Page 8
Rapport sur les e-menaces - BitDefender
1er semestre 2010




4. Trojan.Clicker.CM
Trojan.Clicker.CM atteint le score de 3,18 % du nombre total d'ordinateurs infectés. Au cours des six premiers
mois de 2010, Clicker.CM a été détecté en particulier sur des sites Web hébergeant des programmes illégaux,
comme des crackeurs, des générateurs de clés et de numéros de série destinés à des logiciels à succès. Ce
cheval de Troie est notamment utilisé pour imposer des publicités dans des fenêtres popup et ainsi augmenter
les profits publicitaires des cyber-criminels.

5. Win32.Sality.OG
La 5ème place, avec 2,90 % des infections provoquées globalement, revient à Win32.Sality.OG. Cette
menace électronique est un contaminateur polymorphe de fichiers qui ajoute son code crypté à des fichiers
exécutables (binaires .exe et .scr). Il déploie un rootkit et anéantit le logiciel antivirus tournant sur l'ordinateur
de façon à dissimuler sa présence sur la machine infectée.


6. Trojan.Wimad.Gen.1
Au 6ème rang du classement de BitDefender des principaux malwares de la première moitié de 2010,
Trojan.Wimad.Gen.1 exploite une caractéristique des fichiers ASF et WMV, qui permet à leur créateur de
spécifier l’URL où se trouve le codec voulu s’il n’est pas déjà installé sur l’ordinateur. Cependant, au moment
de lire le fichier, Windows Media® Player essaie de télécharger et d’installer le codec en question, lequel –dans
la plupart des cas- n’est qu’un adware ou un faux antivirus se présentant sous la forme d’une mise à jour de
Flash.




Figure 4 : URLANDEXIT et le lien de redirection

La plupart des fichiers vidéo qui exploitent cette caractéristique sont téléchargés sur les sites peer-to-peer ou
torrent et se font passer pour des films à succès ou des épisodes longtemps attendus de séries télévisuelles.


7. Exploit.PDF-Payload.Gen
Exploit.PDF-Payload.Gen occupe le 7ème rang du Top 10 des malwares du premier semestre 2010, avec
2,32 % du total des infections. Il s’agit d’une détection générique qui traite les fichiers PDF spécialement
conçus pour exploiter les vulnérabilités d'Adobe® Reader®.




8. Trojan.Autorun.AET
Trojan.Autorun.AET est un logiciel malveillant qui se propage dans les dossiers Windows partagés, ou par
l’intermédiaire de périphériques amovibles (périphériques de stockage branchés sur le réseau ou disques
mappés). Le cheval de Troie exploite la fonction Autorun des systèmes d'exploitation Windows pour s'exécuter
automatiquement au moment où un périphérique infecté est branché. Il se situe au huitième rang avec 2,08 %
des infections à l'échelle mondiale.



                                                   Page 9
Rapport sur les e-menaces - BitDefender
1er semestre 2010




9. Worm.Autorun.VHG
Worm.Autorun.VHG est un ver Internet/réseau qui exploite la vulnérabilité Windows MS08-067 pour
s'exécuter à distance en utilisant un package RPC spécialement conçu (une méthode également utilisée par
Win32.Worm.Downadup). Le ver occupe la neuvième place avec 1,9 % de l'ensemble des infections.


10. Trojan.FakeAV.KUE
Trojan.FakeAV.KUE clôture la liste du Top 10 des malwares enregistrés au premier semestre 2010, avec 1,76
% du nombre total d'infections. La détection bloque le code JavaScript utilisé dans les pages web pour
déclencher de fausses alertes et simuler des analyses. Ces scripts sont hébergés sur des sites malveillants,
mais aussi par des services web légitimes compromis.




                                               Page 10
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Botnets classiques
Les botnets constituent l'ultime outil des auteurs de malware, dans la mesure où ils peuvent pratiquement être
utilisés à n'importe quelle fin liée comme l'envoi de spam ou des attaques massives DDoS. Des éléments de
botnets sont vendus ou loués pour un projet donné à différents groupes de cybercriminels pour qu'ils puissent
construire leurs propres projets.

Au cours de la première moitié de 2010, les botnets les plus importants en termes de taille et d'activité ont été
Rustock (dont la taille a presque doublé par rapport au deuxième semestre 2009), Kobcka (14,5 %) et Kolab
(11,2 %).

Alors que Rustock possède de multiples couches de protection, y compris un pilote de rootkit et du code
hautement crypté, les bots Kobcka téléchargent furtivement leurs composants de spam (les bots CutWail) au
démarrage et les injectent dans des processus critiques comme svchost.exe. Cette méthode permet au botnet
Kobcka de faire en sorte que les bots Cutwail soient chargés même dans le cas où tous les serveurs Cutwail C
& C ont été détruits.




Figure 5 : Activité des botnets classée par famille de bots




                                                 Page 11
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Botnets Web 2.0
Pendant des années, l'utilisation de botnets Web 2.0 a été considérée comme une méthode moins pratique
que celle fondée sur le protocole IRC, simplement parce que chaque bot nécessitait l'enregistrement d'un
compte séparé auprès du fournisseur du service Web 2.0.
Cependant, des développements récents, qui ont débuté en août 2009 et continué de progresser au cours du
premier semestre 2010, ont montré que les auteurs de malwares étaient prêts à compenser les défauts
technologiques potentiels. Cette année a vu l'émergence du premier botnet viable exploitant Twitter, même s'il
est suffisamment primaire pour n'être qualifié que de "preuve de concept".




Figure 6 : Faux compte Twitter utilisé pour envoyer des commandes. N.B. Ceci correspond à un
compte fictif et n’a rien à voir avec un botnet opérationnel.

Les bots utilisés pour corrompre les PC ont été créés avec un outil expérimental appelé TwitterNET, qui permet
à un attaquant de spécifier quel nom d'utilisateur Twitter les bots doivent contrôler pour émettre des
commandes. Un autre SDK en circulation comporte des options de configuration supplémentaires relatives aux
émissions de commandes.

Il existe deux problèmes principaux à résoudre pour la mise à niveau du SDK mentionné :

A) Le plus faible lien de l'infrastructure d'un botnet Twitter est le compte Twitter infecté ; s'il est suspendu, le
botnet va errer à la recherche de commandes qui ne seront jamais émises.

B) De tels noms d'utilisateurs sont facilement reconnaissables. La Figure 6 montre comment se présente le
compte d'un attaquant après l'émission de plusieurs commandes. Une recherche Twitter sur ".REMOVEALL"
fait apparaître tous les comptes compromis qui seront par conséquent suspendus.




                                                  Page 12
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Figure 7: La deuxième version de l’outil TweBot permet de créer des commandes personnalisées

Les botnets orientés Youtube ont également été repérés en analysant le "bruit de fond"6 engendré par les
commentaires de vidéos spécifiques. Cependant, l'échelle de tels botnets est extrêmement réduite, du fait que
–à notre connaissance- il n'existe aucun outil de création de bots publiquement disponible.




6
  Ce que l’on appelle le bruit de fond est encodé avec un algorithme base64 pour dissimuler les commandes
émisent par le bot contrôleur. Cependant, dans la mesure où les commentaires base64 sont suffisamment
suspects et extrêmement faciles à décoder, la méthode ne semble pas devoir devenir efficace à une grande
échelle sur Youtube.



                                               Page 13
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Malwares Web 2.0
Au cours du premier semestre 2010, la plupart des malwares s'est disséminé par l'intermédiaire d'Internet, les
cyber-criminels s'intéressant particulièrement aux services Web 2.0, comme les réseaux de socialisation, la
messagerie instantanée et les sites de partage de fichiers.


Malwares via messageries instantanées
Mai 2010 a été le théâtre d'une série de menaces visant les utilisateurs non protégés de Yahoo!® Instant
Messenger et de Skype™. Initialement apparu en Roumanie, le ver Delphi Win32.Worm.IM.J allait plus loin
qu'un ver YIM se propageant à volonté – le composant de téléchargement intégré laisse la porte ouverte à
d'autres menaces à haut risque.

Win32.Worm.Palevo.DS lui a rapidement fait suite et a pris d'assaut les utilisateurs de Yahoo!® Messenger et
de Windows Live® Messenger (anciennement MSN® Messenger). Ce descendant de la famille Palevo possède
la propriété de pouvoir détruire le pare-feu Windows, phase critique de l'offensive du malware qui est
déclenchée par le composant spam de Palevo une fois l’infection transmise.




Figure 8 : Les messages envoyés par Win32.Worm.Palevo.DS pour inciter les utilisateurs à en
télécharger un exemplaire.

A la mi-mai, Backdoor.Tofsee a fait un grand retour sous le feu des projecteurs. Cette porte dérobée
incroyablement puissante visait essentiellement les utilisateurs de Skype™ et de Yahoo!® Messenger et seuls
les systèmes exécutant l'une ou l'autre de ces applications pouvaient être infectés. Si la porte dérobée ne
trouvait ni l'un ni l'autre de ces clients de messagerie instantanée, elle se retirait discrètement et s'effaçait elle-
même du système.

Backdoor.Tofsee est protégée par un pilote de rootkit et possède une protection multi-couche qui rend
l'analyse et la suppression extrêmement difficile. En dehors de sa dissémination qui s'apparente à celle d'un
ver, le mécanisme de Backdoor.Tofsee possède aussi un composant qui permet à un attaquant de prendre à
distance le contrôle total de la machine infectée.




                                                    Page 14
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Figure 9 : Pour ne pas éveiller la méfiance, le ver n’envoie de messages qu’au moment où des
conversations sont en cours.




                                          Page 15
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Malwares Peer-to-Peer
Avril a vu l'émergence d'un nouveau et innovant type de malwares conçu pour soutirer de l'argent à des
utilisateurs craintifs en train d'effectuer des téléchargements peer-to-peer. Cette nouvelle menace, identifiée
par BitDefender comme étant Trojan.Maer.A, a frappé le web le 11 avril, visant essentiellement les utilisateurs
d'ordinateurs téléchargeant des fichiers via des services de partage utilisant le protocole BitTorrent®. A peine
installé, le cheval de Troie annonçait qu'il avait détecté un contenu piraté installé dans le système (même sur
des systèmes Windows® authentiques à 100 %) et "offraient" de remettre les choses en ordre pour des
sommes allant jusqu’à 399,95 dollars.

Pour plus de crédibilité, le cheval de Troie affiche plusieurs logos, dont ceux de la RIAA® et de la MPAA®. Ce
malware contient de nombreux liens vers la Fondation ICCP, qui se présente comme étant “un cabinet
juridique qui assiste les détenteurs de droits d’auteur à protéger leur propriété intellectuelle”7. Il affiche aussi
des “pièces à conviction” sous forme d’une liste de tous les fichiers .torrent que l’utilisateur aurait téléchargé
dans le dossier %AppData%.




Figure 10 : Message d’avertissement affiché par le cheval de Troie Trojan.Maer.A.

7
    Texte affiché sur la page web (désormais retirée) de cette pseudo-fondation.


                                                   Page 16
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Après avoir réussi à infecter le système, le cheval de Troie se comporte comme un faux antivirus classique en
affichant de nombreuses fenêtres annonçant une "Violation des droits d'auteur", et en redirigeant les
navigateurs vers la page d'accueil de la Fondation ICCP.

Les escroqueries aux pseudo-codecs ne datent plus d'hier, et elles se terminent toujours mal pour l'utilisateur
final. L'une des méthodes les plus utilisées pour extorquer de l'argent aux utilisateurs non avertis n'a qu'une
origine : Trojan.Wimad. Ce cheval de Troie particulier se sert d'une caractéristique des fichiers ASF8 pour
orienter l'utilisateur vers un site web susceptible de lui fournir le codec adéquat, au cas où il ne serait pas
installé sur l’ordinateur.

Trojan.Wimad est notamment transmis sur les sites peer-to-peer sous l’apparence de films à succès dont il
arrive que la première n’ait même pas encore eu lieu. Dès que l’utilisateur lance le film piraté avec Windows®
Media Player, il est redirigé vers un site vendant un lecteur vidéo supposé lui permettre de regarder le film.

Inutile de dire que le film ne sera jamais visible, même après le paiement et l’installation du lecteur en question.
Il est intéressant de noter que le coût annoncé est de 0,95 dollars, mais que ce montant ne couvre que trois
jours d’essai. Si l’abonnement n’est pas résilié dans les trois jours, l’utilisateur est alors facturé 29,95 dollars
par mois.




Figure 11 : Faux fichier AVI invitant les utilisateurs à acheter divers lecteurs vidéos

L’autre méthode repose également sur une redirection de l’URL vers une page web proposant à l’utilisateur un
codec –inexistant- gratuit. Dès que les utilisateurs non avertis installent le codec (en fait l’un des nombreux
faux antivirus), ils sont sans cesse sollicités d’acheter la “version complète” du produit.




8
  Pour une explication complète du fonctionnement de la famille des Trojan.Wimad consultez le document
http://www.bitdefender.com/VIRUS-1000455-en--Trojan.Wimad.Gen.1.html



                                                  Page 17
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Malwares visant les utilisateurs de Facebook®
En tant que plus grand réseau social du monde, Facebook® est constamment dans le collimateur des cyber-
criminels qui tentent, soit de récolter le maximum des informations personnelles disponibles dans les profils
des utilisateurs, soit d’inciter les détenteurs de compte à participer à différentes manœuvres illicites.

Au cours de la première moitié de 2010, la plupart des incidents de sécurité visant les utilisateurs de
Facebook® ont été liés à la prolifération du ver Koobface, à l’augmentation des pratiques de clickjacking, ainsi
qu’au déploiement d’adwares par l’intermédiaire d’applications malveillantes visant Facebook®.




Figure 12 : Le ver Koobface commence par envoyer des messages à tous les amis des utilisateurs
infectés. Le message contient ce qui ressemble à une URL vers une page vidéo, mais aboutit à un
fichier exécutable infecté par Koobface.

Après l’apparition début août 2008 d’une variante A assez sommaire affectant uniquement les utilisateurs de
myspace.com9, le ver s’est métamorphosé en une véritable application web avec un potentiel destructeur
inimaginable.

Les variantes suivantes du ver étaient    modelées différemment de manière à transformer chacune de ses
caractéristiques en un module distinct,   ce qui le faisait ressembler à un logiciel disponible sur le marché.
Win32.Worm.Koobface est rapidement        devenu un outil agressif s’attaquant à la plupart des réseaux sociaux,
y compris, mais pas exclusivement,        à myspace.com, facebook.com, hi5.com, fubar.com, tagged.com,
Friendster.com, et twitter.com.


Il a également changé de comportement : de ver qui se contentait de se disséminer parmi les murs ou les
profils d’utilisateurs infectés, il s’est transformé en un outil extrêmement dangereux, capable de voler des
données, d’intercepter ou de détourner le trafic ou de lancer des campagnes de publicité dans le navigateur
des utilisateurs. Au moment de la rédaction de ce rapport, Win32.Worm.Koobface est à l’origine de la création
d’un botnet foudroyant organisé au sein d’un réseau très puissant de centres de commande et de contrôle au
service de ses maîtres, y compris l’espionnage d’opérations bancaires en ligne et le téléchargement forcé
d’utilitaires et faux antivirus sur les systèmes déjà infectés.
Le Clickjacking (détournement de clic) a également joué un rôle important dans la dissémination du malware
chez les utilisateurs de Facebook®. Cette technique consiste à exploiter une fonctionnalité de Facebook®, qui
permet au développeur d’applications d’enregistrer un bouton “j’aime” anonyme sans ajouter des contrôles de

9
 La description technique de Koobface.A par BitDefender : http://www.bitdefender.com/VIRUS-1000362-en--
Win32.Worm.KoobFace.A.html


                                                 Page 18
Rapport sur les e-menaces - BitDefender
1er semestre 2010




sécurité supplémentaires. Un iframe caché ou transparent s'installe au-dessus d’un bouton légitime, connu des
utilisateurs.

Dès qu'ils cliquent sur ce qu'ils connaissent – généralement une boîte de messagerie – ils sont immédiatement
redirigés vers une autre page et priés de remplir des formulaires, de confirmer leurs références, de répondre à
quelques questions ou de cliquer sur d'autres liens. Cette page a évidemment un aspect légitime et sûr, au
point que l'utilisateur le moins averti techniquement n'a strictement aucune idée de ce qui est en train de se
produire.




Figure 13 : Astuce de clickjacking utilisée pour poster un lien vers un site de sondages sur le mur de la
victime

Les attaques de type Cross-Site-Request Forgery (XSRF) ont également contribué à la propagation de divers
messages et liens de mur à mur. Ce type d’attaque repose sur des iFrames qui exécutent des scripts dont
l’objectif est de manipuler Facebook® pour qu’il écrive un message sur votre mur comme s’il provenait d’un
ami. Contrairement aux attaques XSRF précédemment constatées, qui postaient des liens vers des sites de
hameçonnage ou de malwares sur le mur des utilisateurs, les pratiques de cette année se sont pour la plupart
limitées au postage de publicités.




Figure 14 : Publicité pour le travail à domicile envoyé en masse par la victime, à son insu, via un
“exploit” XSRF

Les six premiers mois de 2010 ont vu paraître un certain nombre de nouvelles applications malveillantes
conçues pour s’intégrer à Facebook®. Ces applications ne sont ni hébergées ni sanctionnées par Facebook® ;
on peut donc facilement imaginer que certaines d’entre elles ont des ordres du jour dissimulés.




                                                Page 19
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Ces applications malveillantes sont généralement remplies d'un contenu factice et de références à des amis
pour donner confiance aux victimes et les persuader de la légitimité de ce qu'elles sont sur le point de visiter.
La victime arrive habituellement sur la page de l'application en suivant un lien posté sur son mur par un de ses
amis compromis. L’application lui demande alors confirmation pour obtenir des données personnelles, envoyer
des messages de sa part, et avoir la permission de toujours envoyer ces messages sans redemander de
confirmation. L’exemple ci-dessous est celui de l’application “Vidéo du cours de danse” décrite en détail dans
l’article de Malware City.




Figure 15 : Tutoriel en quatre étapes pour l’installation d’une application de type adware à partir d’un
lien sur votre mur.




                                                 Page 20
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Spam et hameçonnage
Le hameçonnage est incontestablement l'un des secteurs le plus lucratif du spam, notamment quand il vise les
clients de banques ou de boutiques en ligne. Cependant, comme les sociétés possédant des sites web et
l'industrie anti-malware ont consacré d'importants moyens pour écarter ou bloquer les pages de hameçonnage,
les cyber-criminels ont maintenant choisi d'envoyer des messages dont la page litigieuse est jointe au courrier
électronique. En outre, dans la mesure où les documents attachés sont beaucoup plus faciles à analyser, au
cours d'une vague récente d’hameçonnage Visa®, les questionnaires étaient cryptés par l'intermédiaire de la
fonction eval() de Javascript.




Figure 16 : Hameçonnage Visa à partir d’un formulaire adressé en pièce jointe au courrier.

La plupart de ces messages sont rédigés dans un anglais assez médiocre, ce qui nous incite à penser que
cette vague de spam provenait d'une région d'Europe de l'Est. D'autres attaques classiques d’hameçonnage
émanent de packs d’hameçonnage pouvant être troqués sur des forums spécialisés.




Figure 17 : Page d’hameçonnage HSBC créée à partir d’un kit d’hameçonnage disponible sur certains
forums.




                                                Page 21
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Les menaces de type spam
Le spam a constitué l'un des problèmes les plus constants auxquels l'utilisateur d'un ordinateur a eu à faire
face au cours du premier semestre 2010. La plupart des messages non sollicités envoyés dans le monde
entier ont été les célèbres publicités de Canadian Pharmacy qui ont représenté à peu près 66 % du spam
mondial.


Répartition du spam par pays d’origine
Bien que la Russie ait enregistré une légère régression au cours du quatrième trimestre 2009 – principalement
à cause de la suppression soudaine des fournisseurs d’hébergement complaisants10, elle est rapidement
redevenue l'un des trois premiers spammers du top mondial.



Répartition du spam par lieu d’origine - Janvier – Juin 2010
Valeurs actuelles (1er semestre 2010)
Etats-Unis                                    28,71%
Chine                                         5,21%
Russie                                        3,65%
Argentine                                     2,14%
Royaume-Uni                                   2,13%
Allemagne                                     1,84%
Brésil                                        1,65%
Canada                                        1,60%
Roumanie                                      1,58%
Japon                                         1,50%
Autres                                        50,00%




Les Etats-Unis d'Amérique et la Chine sont les deux pays les plus prolifiques, en particulier à cause des
infestations massives de malwares expéditeurs de spam, comme Rustock, Kobcka et autres spambots.

Le Canada, la Roumanie et le Japon figurent en fin de classement du top du spam du premier semestre 2010,
avec une moyenne se situant à 1,5. La majorité du spam émis dans ces trois pays est le résultat de l'activité de
groupes importants plutôt que le fait de spammers locaux faisant de la publicité pour leur entreprise.




10
   Ces services d’hébergement ont des politiques permissives vis-à-vis des abus. Ils permettent notamment à
leur clients d’envoyer / retransmettre du spam et d’utiliser leurs serveurs pour héberger des pages dédiées à
l’hameçonnage et au déploiement de malwares.


                                                 Page 22
Rapport sur les e-menaces - BitDefender
1er semestre 2010




.




Figure 18 : Répartition du spam par pays d’origine


Répartition du spam par catégories
Au cours du premier semestre 2010, le spam pharmaceutique a constitué la part la plus importante des
messages non sollicités envoyés dans le monde entier. Il a également augmenté de façon alarmante,
réussissant à passer de 50 à 66 % en seulement six mois. Ce phénomène semble avoir pour origine la Russie,
l'Ukraine et la Chine. La plupart de ces spams font de la publicité pour Canadian Pharmacy, une boutique
centralisée qui combine fourniture de faux médicaments et escroquerie à la carte bancaire. Le site de
Canadian Pharmacy a un nombre invraisemblable de clones hébergés, soit par des sociétés complaisantes en
Chine, soit directement sur les ordinateurs compromis qui font partie de botnets exploitant la technique fast-
flux.




                                                Page 23
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Les copies de produits arrivent au deuxième rang des principaux secteurs d’activité du spam, représentant
presque 7 % de la quantité de spam expédiée dans le monde entier. Ces offres englobent des contrefaçons de
marques prestigieuses, en particulier des montres et des accessoires de mode (lunettes de soleil, sacs à main
ou de voyage, et bijouterie).




Figure 19 : Site Web de montres contrefaites promues par spam

La crise économique mondiale a également eu un puissant impact sur la nature du spam, dont presque 5 %
concernent des offres d'assurance et de prêts, catégorie qui se situe mondialement au troisième rang.

Le spam contenant des malwares empaquetés a beaucoup diminué, passant de 6 % au deuxième semestre
2009 à seulement 3 % au cours des six premiers mois de 2010. Cependant, les fichiers malveillants attachés
sont devenus de plus en plus menaçants : les bots Zeus, les cartes de vœux Waledac et les vers Mabezat.J ne
sont que des exemples de manœuvres destructrices qui ont pris d'assaut les boîtes aux lettres des utilisateurs
en 2010.




                                                Page 24
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Spam : les tendances
La première moitié de 2010 a vu les messages spam atteindre 86,2 % du nombre total de messages
électroniques envoyés dans le monde. Le spam textuel reste la forme la plus répandue des messages non
sollicités, bien qu'on ait constaté tout au long du premier trimestre quelques pointes de spam image. La plupart
des messages contenant des images sont des publicités pour les produits pharmaceutiques canadiens et sont
d’une taille allant de 6 à 12 Ko. La taille moyenne des messages textuels tourne autour de 5,5 Ko.




Figure 20 : Le spam proposant des comprimés représente la majeure partie du courrier non sollicité
contenant des images.

Des célébrations internationales, comme le jour de la Saint-Valentin, ou des événements de grande portée (la
coupe du monde de football par exemple) ont été exploités par l'envoi de messages ciblés véhiculant des
malwares (notamment les bots Waledac déguisés en cartes de vœux) ou conduisant vers des sites web
d’hameçonnage vendant de faux billets pour la coupe du monde.

D'autres messages spam véhiculent des documents attachés DOC ou PDF ayant l'apparence de formulaires
d'imposition, d'offres d'emploi, ou même de notifications de transactions bancaires, qui, une fois ouverts,
profitent d’exploits zero-day identifiés dans les logiciels du commerce pour exécuter un code arbitraire sur
l’ordinateur des utilisateurs.




                                                 Page 25
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Figure 21 : Fichier exécutable imbriqué déguisé en document anodin imitant un relevé bancaire

La catastrophe climatique au Guatemala a également incité les spammers comme les auteurs de malwares à
tabler sur la curiosité des utilisateurs et à les mystifier en les dirigeant vers des pages téléchargeant des
malwares. Les pages Black-SEO concernant les glissements de terrains au Guatemala ont été ajoutées à un
nombre impressionnant de sites web piratés. Visiter une de ces pages redirigeait la victime vers le faux
antivirus Rither ou des exploits zero-day Adobe PDF.




Figure 22 : Page piratée d’une société, optimisée pour profiter du trafic engendré par l’intérêt porté aux
glissements de terrains au Guatemala.




                                               Page 26
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Hameçonnage et usurpation d’identité
Le hameçonnage, la plus nuisible espèce de spam, a poursuivi son évolution au cours des premiers mois de
2010, bien que beaucoup d'hébergeurs de sites web et de moteurs de recherche aient multiplié leurs efforts
pour bloquer les pages dangereuses.




Figure 23 : Les organismes les plus touchés par l’hameçonnage au cours du 1er semestre 2010

Au cours de la première moitié de l'année, les organismes financiers ont été la cible préférée des cyber-
criminels, et destinataires de plus de 70 % des messages de hameçonnage. Les réseaux sociaux ont
également été en ligne de mire, car les profils des utilisateurs sont des sources d'informations faciles d'accès
et les comptes compromis peuvent être efficacement utilisés pour lancer des attaques d’hameçonnage.




Figure 24 : Page PayPal d’hameçonnage. Afin d’être plus crédible, le pirate a créé un dossier appelé
www.paypal.fr qui contient effectivement le formulaire d’hameçonnage.


                                                 Page 27
Rapport sur les e-menaces - BitDefender
1er semestre 2010




La plupart des messages de hameçonnage spammés pendant le premier trimestre 2010 étaient rédigés en
anglais (75 % de tous ceux traités par BitDefender), suivi par le français (13 %) et le suédois (3%). Le russe
arrive en quatrième position avec à peine 2 %, le dernier rang revenant à des messages non sollicités écrits en
bulgare, représentant 0,42 % de l'ensemble des messages de cette catégorie.


Les hébergeurs les plus accueillants pour les hameçonneurs se trouvent en Russie et en République Tchèque,
qui hébergent presque 50 % des pages concernées. Les sociétés écrans opérant en Russie procurent
hébergement et serveurs de spam à des organisations cyber-criminelles internationales impliquées dans
l’hameçonnage, le spam, les faux antivirus tout en accueillant des centres de commandes et de contrôles de
botnets comme Zeus, Pushdo et Rustock.




Figure 25 : Principaux pays hébergeurs de pages d’hameçonnage

Bien qu'ils fassent partie des victimes les plus convoitées par les cyber-attaquants, les organismes financiers
ne sont pas les seuls à souffrir du hameçonnage. Les communautés de jeux en ligne comme Steam® et World
of Warcraft® sont aussi l'objet de l'intérêt des hameçonneurs.

Une fois qu'ils ont réussi leur attaque et obtenu les données de connexion, non seulement les attaquants ont
accès aux coordonnées de la carte bancaire stockées pour facturation, mais ils peuvent également vendre,
commercialiser ou transférer les données de la victime concernée.




                                                Page 28
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Figure 26 : Page d’hameçonnage de Steam en attente des données de l’utilisateur




                                           Page 29
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Vulnérabilités, « exploits » et brèches de sécurité
Comparés aux six derniers mois de 2009, les six premiers de 2010 ont été extrêmement riches en exploits
zero-day, qui allaient de l'exploitation de vulnérabilités critiques de composants de Microsoft® (Windows®
Internet Explorer® versions 6 à 8) à des bogues dans des logiciels tiers comme Adobe® PDF et Adobe® Flash
Player entre autres.


Les menaces de type exploits
Janvier a vu surgir CVE-2010-0249, un exploit zero-day de Windows® Internet Explorer® qui a profité d'une
vulnérabilité liée à une corruption de mémoire affectant toutes les versions, sauf la version 5.01, du Service
Pack 4 de Microsoft Windows 2000.

Intercepté par BitDefender sous le nom de Exploit.Comele.A, ce bogue zero-day a été largement utilisé pour
déclencher une cyber-attaque à grande échelle nommée Operation Aurora. Parmi les organismes qui ont
officiellement reconnu en avoir été victimes, on trouve Google™ 11, Adobe Systems Inc., Juniper Networks Inc.
et Rackspace Ltd.


D'après Google, l'exploit n'était pas simplement la recherche d'informations mais faisait partie d'un plan
concerté d'offensives impliquant des aspects politiques et financiers. En outre, le code de l'exploit est tombé
dans le domaine public avant que Microsoft® ait pu avoir la moindre chance de publier un correctif, ce qui a
entraîné la conduite d'autres attaques entreprises par ceux qui avaient eu accès au code de l'exploit.

En janvier a également été décelée une deuxième importante vulnérabilité, concernant Adobe® Reader®.
Egalement connue sous le nom de CVE –2009-4324, cette brèche a affecté Adobe® Reader® et Acrobat 9.2
et des versions antérieures, et cette exploitation a entraîné des crashes, l’exécution à distance de code ainsi
que la possibilité d’effectuer des attaques par script d’un site à l’autre.

CVE-2009-4324 exploite une erreur dans l'implémentation de la méthode “Doc.media.newPlayer()” de
JavaScript, qui permet de corrompre la mémoire quand un fichier PDF spécialement conçu est lancé. Le
vendeur a émis le 12 janvier un correctif pour atténuer les conséquences d'attaques futures fondées sur cette
méthode JavaScript particulière.

Le mois de juin a été riche en surprises en termes de sécurité, les produits Adobe® constituant la cible
principale. Comme beaucoup d’autres bogues zero-day visant Adobe® Reader®, le vecteur d’attaque de CVE-
2010-1297 se présentait comme un fichier PDF anormal contenant un code JavaScript spécialement conçu et
un fichier .SWF imbriqué.

L’exploit utilise le JavaScript imbriqué pour décrypter un script de shellcode, et permet l’exécution de code
arbitraire à distance. Pour que l'attaque réussisse, il est nécessaire que le fichier authplay.dll soit présent sur le
système ciblé.




11
  Le gigantesque moteur de recherche a confirmé et décrit l'attaque dans un article intitulé "Une nouvelle
approche de la Chine" posté sur le blog officiel de la société.


                                                   Page 30
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Autres risques menaçant la sécurité
La fin du mois d’avril a été marquée par une attaque majeure contre une vaste gamme de logiciels CMS
hébergés par différents fournisseurs. Des milliers de possesseurs de sites web ont vu leur système de gestion
de contenu favori compromis par des fonctions encodées base64 injectées dans des pages PHP. A chaque
fois, les instructions base64 redirigeaient le visiteur vers des sites web hébergeant de faux antivirus, mais
uniquement quand le visiteur était arrivé sur le site via un moteur de recherche. Cette technique permettait au
script de rester indécelable par tous les visiteurs accédant directement au site (y compris les administrateurs),
tout en dirigeant l’ensemble du trafic en provenance des moteurs de recherche vers des pages web chargées
de malwares.

Les premières théories prétendaient que les sites web affectés tournaient sous des versions obsolètes et
vulnérables de WordPress et sur des serveurs d'une société hôte particulière. Mais, deux jours plus tard,
d'autres plateformes CMS utilisant le PHP, hébergées par des fournisseurs différents, étaient victimes du
même genre d'infestation de fichiers. Des études ultérieures ont montré que la mauvaise configuration du
serveur, associée à une attribution erronée des droits d’accès aux fichiers, avait joué un rôle majeur dans le
succès de l'attaque.




                                                 Page 31
Rapport sur les e-menaces - BitDefender
1er semestre 2010




E-menaces : les prévisions
Alors que les six premier mois de l’année 2010 ont été dominés par des e-menaces traditionnelles, telles que
les chevaux de Troie et les vers, des exploits visant des applications tierces ont gagné du terrain, à la fois en
nombre et en conséquences. Comme dans le cas de Exploit.Comele.A, les vulnérabilités zero-day peuvent
être utilisées à des fins qui vont au-delà du vol d'identité ou de coordonnées bancaires, pour atteindre la
puissance de véritables armes de guerre cybernétique et d'un espionnage industriel de haut niveau.

Activité des botnets
Les botnets constituant des mécanismes clés dans n'importe quelle infrastructure cyber-criminelle, leur
développement et l'amélioration de leurs capacités va devenir la préoccupation principale des auteurs de
malware. Cependant, dans la mesure où les botnets sont la plupart du temps dans la ligne de mire des
autorités internationales et des fournisseurs de services Internet (comme le prouve la fermeture du botnet
Mariposa (également connu sous les noms de Rimecud et Palevo)), des bots maîtres seront nécessaires pour
expérimenter de nouvelles méthodes de coordination.
•         L'émergence récente d'outils de création de botnets, contrôlables via Twitter, pourrait constituer la
pierre angulaire de la naissance d'une lignée extrêmement prolifique d'ordinateurs zombis.
•         Les botnets fast-flux vont également gagner du terrain, car de plus en plus d'hébergeurs de sites web
ferment les comptes contenant des pages de hameçonnage, des packs d'exploits ou des applications
expéditrices de spam. Non seulement les botnets fast-flux n’ont pas besoin d’hébergeurs complaisants, mais il
est difficile aux autorités de trouver l’origine exacte de l'attaquant.

Applications malveillantes
Le premier semestre 2010 a vu réapparaître d'anciens types de malwares : des ransomwares et des virus qui
écrasent le MBR des systèmes. Trojan.Maer.A, Application.Scareware.Keytz et différents autres au parfum de
faux antivirus, ne sont que quelques-unes des applications qui poussent les utilisateurs à verser de l'argent
pour ranimer leur ordinateur et qu'il fonctionne de nouveau. BitDefender estime que les faux antivirus de type
ransomware vont se multiplier au cours de la seconde moitié de 2010 pour piéger leurs victimes en les
convainquant d'acheter la "version complète".


Réseaux de socialisation
Facebook dépassant 500 millions d'utilisateurs, de nombreux auteurs de malwares vont s'intéresser à la
plateforme de ce réseau social pour y exercer leur puissance. Certaines de ces attaques vont consister à
utiliser des astuces d’ingénierie sociale (par exemple à lancer des offensives variées à partir d'ordinateurs
infectés), et d'autres vont tenter d'exploiter les différentes vulnérabilités ou fonctions déjà présentes sur la
plateforme.

Les fuites de données personnelles vont contribuer massivement au succès de certaines attaques, en
particulier quand ces données sont corroborées par des blogs personnels, des C.V. et d’autres
renseignements pertinents. On peut également s'attendre à ce que des applications tierces jouent un rôle
important dans les abus ciblant les réseaux sociaux.




                                                 Page 32
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Autres menaces
Les logiciels déplombés et non authentiques vont également jouer un rôle clé dans la propagation de divers
malwares. D'une part, la plupart des mécanismes destinés à contourner la protection des logiciels du
commerce téléchargeables sur les portails “warez” contiennent déjà différents types de malwares, allant des
keyloggers aux portes dérobées. D'autre part, des copies non conformes du système d'exploitation Windows®
ne peuvent pas recevoir les dernières mises à jour de sécurité, ce qui laisse les ordinateurs qui les font tourner
sans protection contre les prochains exploits zero-day et les vulnérabilités que l'on doit s'attendre à voir se
manifester au cours des six prochains mois.

Systèmes d'exploitation des mobiles
Au cours de la seconde moitié de 2010, les menaces contre les mobiles vont encore rester rares, notamment
du fait de la grande diversité de téléphones et de systèmes d'exploitation. Le Maemo de Google va continuer
de bénéficier d'un parcours sécurisé, à la fois parce qu'il est construit sur une plateforme solide, dérivée de
Debian Linux, et qu'il n'a pas réussi à devenir l'un des trois premiers systèmes d'exploitation pour mobiles
disponibles.

A l'inverse, le Symbian de Nokia va probablement être le plus exposé aux malwares. D'après le cabinet
d’études Gartner, le système d'exploitation Symbian détient actuellement 44 % des parts du marché des
téléphones mobiles, ce qui en fait une cible intéressante.




                                                 Page 33
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Table des figures
Figure 1 : Diffusion de malwares classée par pays.............................................................................................. 6
Figure 2 : Top 10 des menaces de type malwares au 1er semestre 2010........................................................... 7
Figure 3 : Fichier autorun.inf malveillant. Les commandes essentielles du fichier sont affichées en blanc. ....... 8
Figure 4 : URLANDEXIT et le lien de redirection .............................................................................................. 10
Figure 5 : Activité des botnets classée par famille de bots................................................................................. 11
Figure 6 : Faux compte Twitter utilisé pour envoyer des commandes. N.B. Ceci correspond à un compte fictif
et n’a rien à voir avec un botnet opérationnel. ....................................................................................................
12
Figure 7 : La deuxième version de l’outil TweBot permet de créer des commandes personnalisées ............... 13
Figure 8 : Les messages envoyés par Win32.Worm.Palevo.DS pour inciter les utilisateurs à en télécharger un
exemplaire. ........................................................................................................................................................ 14
Figure 9 : Pour ne pas éveiller la méfiance, le ver n’envoie de messages qu’au moment où des conversations
sont en cours. ................................................................................................................................................... 14
Figure 10 : Message d’avertissement affiché par le cheval de Troie Trojan.Maer.A. ....................................... 15
Figure 11 : Faux fichier AVI invitant les utilisateurs à acheter divers lecteurs vidéos ....................................... 16
Figure 12 : Le ver Koobface commence par envoyer des messages à tous les amis des utilisateurs infectés. Le
message contient ce qui ressemble à une URL vers une page vidéo, mais aboutit à un fichier exécutable
infecté par Koobface. ........................................................................................................................................ 17
Figure 13 : Astuce de clickjacking utilisée pour poster un lien vers un site de sondages sur le mur de la ....... 18
Figure 14 : Publicité pour le travail à domicile envoyé en masse par la victime à son insu via un “exploit” XSRF.
........................................................................................................................................................................... 18
Figure 15 : Tutoriel en quatre étapes pour l’installation d’une application de type adware à partir d’un lien sur
votre mur. ......................................................................................................................................................... 19
Figure 16 : Hameçonnage Visa à partir d’un formulaire adressé en pièce jointe au courrier. .......................... 20
Figure 17 : Page d’hameçonnage HSBC créée à partir d’un kit d’hameçonnage disponible sur certains forums.
.......................................................................................................................................................................... 20
Figure 18 : Répartition du spam par pays d’origine .......................................................................................... 22
Figure 19 : Site Web de montres contrefaites promues par spam.................................................................... 23
Figure 20 : Le spam proposant des comprimés représente la majeure partie du courrier non sollicité contenant
des images...................................................................................................................................................... 24
Figure 21 : Fichier exécutable imbriqué déguisé en document anodin imitant un relevé bancaire................. 25
Figure 22 : Page piratée d’une société, optimisée pour profiter du trafic engendré par l’intérêt porté aux
glissements de terrains au Guatemala...............................................................................................................25
Figure 23 : Les organismes les plus touchés par l’hameçonnage au cours du 1er semestre 2010................ 26
Figure 24 : Page PayPal d’hameçonnage. Afin d’être plus crédible, le pirate a créé un dossier appelé
www.paypal.fr qui contient effectivement le formulaire d’hameçonnage.. ...................................................... 26
Figure 25 : Principaux pays hébergeurs de pages d’hameçonnage................................................................ 27
Figure 26 : Page d’hameçonnage de Steam en attente des données de l’utilisateur...................................... 28




                                                                            Page 34
Rapport sur les e-menaces - BitDefender
1er semestre 2010




Avertissement
Les informations et les données exposées dans ce document reflètent le point de vue de BitDefender® sur les
sujets abordés au moment de sa rédaction. Ce document et les informations qu'il contient ne peuvent en aucun
cas être interprétés comme un engagement ou engagement ou un contrat de quelque nature que ce soit.

Bien que toutes les précautions aient été prises dans l'élaboration de ce document, l'éditeur, les auteurs et les
collaborateurs dénient toute responsabilité pour erreurs et/ou omissions éventuelles. Pas plus qu'ils
n'assument une responsabilité quelconque pour des dommages consécutifs à l'utilisation des informations qu'il
contient. De plus, les informations contenues dans ce document sont susceptibles d'être modifiées sans
avertissement préalable. BitDefender, l'éditeur, les auteurs et les collaborateurs ne peuvent garantir la
poursuite de la diffusion de ce type d'informations ni d'éventuels correctifs.

Ce document et les données qu'il contient sont publiés à titre purement informatif. BitDefender, l'éditeur, les
auteurs et les collaborateurs ne donnent aucune garantie expresse, implicite ou légale relatives aux
informations publiées dans ce document.

Le contenu de ce document peut ne pas être adapté à toutes les situations. Si une assistance professionnelle
est nécessaire, les services d'une personne compétente doivent être sollicités. Ni BitDefender, ni les éditeurs
du document, ni les auteurs ni les collaborateurs ne peuvent être tenus pour responsables des préjudices
pouvant résulter d'une telle consultation.


Le fait qu'une personne ou une organisation, un travail individuel ou collectif, y compris des textes imprimés,
des documents électroniques, des sites web, etc., soient mentionnés dans ce document en tant que référence
et/ou source d'information actuelle ou future, ne signifie pas que BitDefender, l'éditeur du document, les
auteurs ou les collaborateurs avalisent les informations ou les recommandations que peuvent fournir la
personne, l'organisation, les travaux individuels ou collectifs, y compris les textes imprimés, les documents
électroniques, les sites web, etc.

Les lecteurs doivent également savoir que BitDefender, l'éditeur du document, les auteurs ou les
collaborateurs ne peuvent garantir l'exactitude d'aucune des informations données dans ce document au-delà
de sa date de publication, y compris, mais non exclusivement, les adresses web et les liens Internet indiqués
dans ce document qui peuvent avoir changé ou disparu entre le moment où ce travail a été écrit et publié et le
moment où il est lu.

Les lecteurs ont la responsabilité pleine et entière de se conformer à toutes les lois internationales applicables
au copyright émanant de ce document. Les droits relevant du copyright restant applicables, aucune partie de
ce document ne peut être reproduite, mise en mémoire ou introduite dans un système de sauvegarde, ni
transmise sous aucune forme ni par aucun moyen (électronique physique, reprographique, d'enregistrement,
ou autres procédés), ni pour quelque but que ce soit, sans l'autorisation expresse écrite de BitDefender.

BitDefender peut posséder des brevets, des brevets déposés, des marques, des droits d'auteur, ou d'autres
droits de propriété intellectuelle se rapportant au contenu de ce document. Sauf accord express de BitDefender
inscrit dans un contrat de licence, ce document ne donne aucun droit sur ces brevets, marques, copyrights, ou
autre droit de propriété intellectuelle.


Tous les autres noms de produits ou d'entreprises mentionnés dans ce document le sont à titre purement
informatif et sont et restent la propriété de, et peuvent être des marques de, leurs propriétaires respectifs.

Copyright © 2010 BitDefender . Tous droits réservés.




                                                       Page 35

Más contenido relacionado

Ähnlich wie MALWARE ET SPAM : LES TENDANCES. Rapport sur les e-menaces 1er semestre 2010

Les amis, les ennemis et Facebook : la nouvelle lutte contre les escrocs
Les amis, les ennemis et Facebook : la nouvelle lutte contre les escrocsLes amis, les ennemis et Facebook : la nouvelle lutte contre les escrocs
Les amis, les ennemis et Facebook : la nouvelle lutte contre les escrocsBitdefender en France
 
Enlever m.tonginjs.info pop-up: Savoir comment désinstaller
Enlever m.tonginjs.info pop-up: Savoir comment désinstallerEnlever m.tonginjs.info pop-up: Savoir comment désinstaller
Enlever m.tonginjs.info pop-up: Savoir comment désinstalleralbertcrauser
 
Livre blanc ereputation_portaildespme
Livre blanc ereputation_portaildespmeLivre blanc ereputation_portaildespme
Livre blanc ereputation_portaildespmePortail des PME
 
Etude Kaspersky Lab : Impact Phishing sur les finances
Etude Kaspersky Lab : Impact Phishing sur les financesEtude Kaspersky Lab : Impact Phishing sur les finances
Etude Kaspersky Lab : Impact Phishing sur les financesThibault Deschamps
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureNRC
 
La note de tendances 2011 par vanksen
La note de tendances 2011 par vanksenLa note de tendances 2011 par vanksen
La note de tendances 2011 par vanksenLouise Latournerie
 
Panorama de l'évolution de la presse à l'heure d'Internet: du fil info au pur...
Panorama de l'évolution de la presse à l'heure d'Internet: du fil info au pur...Panorama de l'évolution de la presse à l'heure d'Internet: du fil info au pur...
Panorama de l'évolution de la presse à l'heure d'Internet: du fil info au pur...Alban Martin
 
Rapport Threat Intelligence Check Point du 4 avril 2016
Rapport Threat Intelligence Check Point du 4 avril 2016Rapport Threat Intelligence Check Point du 4 avril 2016
Rapport Threat Intelligence Check Point du 4 avril 2016Blandine Delaporte
 
Supprimer PrintOnKey
Supprimer PrintOnKeySupprimer PrintOnKey
Supprimer PrintOnKeyfransistopno
 
Suppimer Ads by TornTV V9.0
Suppimer Ads by TornTV V9.0Suppimer Ads by TornTV V9.0
Suppimer Ads by TornTV V9.0rozarfarade
 
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...eGov Innovation Center
 
Supprimer Search.freecause.com
Supprimer Search.freecause.comSupprimer Search.freecause.com
Supprimer Search.freecause.comrozarfarade
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueOPcyberland
 
Désinstaller Troie: Win64/Patched.H, supprimer Trojan: Win64/Patched.H instan...
Désinstaller Troie: Win64/Patched.H, supprimer Trojan: Win64/Patched.H instan...Désinstaller Troie: Win64/Patched.H, supprimer Trojan: Win64/Patched.H instan...
Désinstaller Troie: Win64/Patched.H, supprimer Trojan: Win64/Patched.H instan...101scorphio105
 
M-Trends 2015 : Les nouvelles du front
M-Trends 2015 : Les nouvelles du frontM-Trends 2015 : Les nouvelles du front
M-Trends 2015 : Les nouvelles du frontFireEye, Inc.
 
la sécurité informatique
la sécurité informatique la sécurité informatique
la sécurité informatique Mohamed Aguezzar
 
Supprimer Ads by deja data
Supprimer Ads by deja dataSupprimer Ads by deja data
Supprimer Ads by deja datarozarfarade
 

Ähnlich wie MALWARE ET SPAM : LES TENDANCES. Rapport sur les e-menaces 1er semestre 2010 (20)

Les amis, les ennemis et Facebook : la nouvelle lutte contre les escrocs
Les amis, les ennemis et Facebook : la nouvelle lutte contre les escrocsLes amis, les ennemis et Facebook : la nouvelle lutte contre les escrocs
Les amis, les ennemis et Facebook : la nouvelle lutte contre les escrocs
 
Enlever m.tonginjs.info pop-up: Savoir comment désinstaller
Enlever m.tonginjs.info pop-up: Savoir comment désinstallerEnlever m.tonginjs.info pop-up: Savoir comment désinstaller
Enlever m.tonginjs.info pop-up: Savoir comment désinstaller
 
Livre blanc ereputation_portaildespme
Livre blanc ereputation_portaildespmeLivre blanc ereputation_portaildespme
Livre blanc ereputation_portaildespme
 
Etude Kaspersky Lab : Impact Phishing sur les finances
Etude Kaspersky Lab : Impact Phishing sur les financesEtude Kaspersky Lab : Impact Phishing sur les finances
Etude Kaspersky Lab : Impact Phishing sur les finances
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
 
La note de tendances 2011 par vanksen
La note de tendances 2011 par vanksenLa note de tendances 2011 par vanksen
La note de tendances 2011 par vanksen
 
Panorama de l'évolution de la presse à l'heure d'Internet: du fil info au pur...
Panorama de l'évolution de la presse à l'heure d'Internet: du fil info au pur...Panorama de l'évolution de la presse à l'heure d'Internet: du fil info au pur...
Panorama de l'évolution de la presse à l'heure d'Internet: du fil info au pur...
 
Rapport Threat Intelligence Check Point du 4 avril 2016
Rapport Threat Intelligence Check Point du 4 avril 2016Rapport Threat Intelligence Check Point du 4 avril 2016
Rapport Threat Intelligence Check Point du 4 avril 2016
 
Supprimer PrintOnKey
Supprimer PrintOnKeySupprimer PrintOnKey
Supprimer PrintOnKey
 
L’IoT et le soulèvement des machines
L’IoT et le soulèvement des machinesL’IoT et le soulèvement des machines
L’IoT et le soulèvement des machines
 
Suppimer Ads by TornTV V9.0
Suppimer Ads by TornTV V9.0Suppimer Ads by TornTV V9.0
Suppimer Ads by TornTV V9.0
 
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
 
Supprimer Search.freecause.com
Supprimer Search.freecause.comSupprimer Search.freecause.com
Supprimer Search.freecause.com
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numérique
 
Désinstaller Troie: Win64/Patched.H, supprimer Trojan: Win64/Patched.H instan...
Désinstaller Troie: Win64/Patched.H, supprimer Trojan: Win64/Patched.H instan...Désinstaller Troie: Win64/Patched.H, supprimer Trojan: Win64/Patched.H instan...
Désinstaller Troie: Win64/Patched.H, supprimer Trojan: Win64/Patched.H instan...
 
M-Trends 2015 : Les nouvelles du front
M-Trends 2015 : Les nouvelles du frontM-Trends 2015 : Les nouvelles du front
M-Trends 2015 : Les nouvelles du front
 
la sécurité informatique
la sécurité informatique la sécurité informatique
la sécurité informatique
 
Veille sans video
Veille sans videoVeille sans video
Veille sans video
 
Supprimer Ads by deja data
Supprimer Ads by deja dataSupprimer Ads by deja data
Supprimer Ads by deja data
 

Último

Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapInstallation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapMaxime Huran 🌈
 
Mes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensMes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensErol GIRAUDY
 
Les Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleLes Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleErol GIRAUDY
 
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Infopole1
 
The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)IES VE
 
KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311Erol GIRAUDY
 

Último (6)

Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapInstallation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
 
Mes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensMes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examens
 
Les Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleLes Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence Artificielle
 
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
 
The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)
 
KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311
 

MALWARE ET SPAM : LES TENDANCES. Rapport sur les e-menaces 1er semestre 2010

  • 1. MALWARE ET SPAM : LES TENDANCES Rapport sur les e-menaces er 1 semestre 2010 BitDefender - Editions Profil - Juillet 2010 www.BitDefender.fr
  • 2. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Auteur Bogdan BOTEZATU, Spécialiste en communication Collaborateurs Loredana BOTEZATU, Spécialiste en communication – Menaces de types Malware et Web 2.0 Daniel CHIPIRIŞTEANU, Analyste Malware Dragoş GAVRILUŢ, Analyste Malware Alexandru Dan BERBECE - Administrateur de la base de données Adrian MIRON - Analyste Spam Irina RANCEA - Analyste Hameçonnage Page 2
  • 3. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Table des matières  Rapport sur les e-menaces au 1er semestre 2010 ..................................................................................... 1 Table des matières...................................................................................................................................... 3 Introduction.................................................................................................................................................. 4 Les malwares vedettes............................................................................................................................. 5 Les menaces de type malware.................................................................................................................... 6 Les principaux pays diffuseurs de malware................................................................................................. 6 Botnets classiques..................................................................................................................................... 11 Botnets Web 2.0......................................................................................................................................... 11 Malware Web 2.0 ...................................................................................................................................... 13 Spam et hameçonnage............................................................................................................... ............... 19 Les menaces de type spam........................................................................................................................ 21 Spam : les tendances................................................................................................................................. 23 Hameçonnage et usurpation d’identité....................................................................................................... 26 Vulnérabilités, “exploits” et brèches de sécurité........................................................................................ 28 Les menaces de type “exploits”............................................................................................................ ..... 28 Autres risques menaçant la sécurité ................................................................................................. 29 E-menaces : les prévisions........................................................................................................................ 30 Activité des botnets.................................................................................................................................... 30 Applications malveillantes.......................................................................................................................... 30 Réseaux de socialisation........................................................................................................................... 30 Autres menaces......................................................................................................................................... 31 Systèmes d’exploitation des mobiles.......................................................................................................... 31 Table des figures........................................................................................................................................ 32 Avertissement............................................................................................................................................. 33 Page 3
  • 4. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Sommaire Tandis que 2009 avait été exclusivement placée sous les funestes auspices du vers Conficker, 2010 a vu la tendance s'orienter vers des menaces électroniques utilisant les services Web 2.0 comme principaux vecteurs d'infection. Sachant que le nombre d'utilisateurs de Facebook® a déjà dépassé en volume la population des Etats-Unis d'Amérique, il est facile d'imaginer que les auteurs de logiciels malveillants ont décuplé leurs tentatives d'ouvrir des brèches dans le système de sécurité de ce réseau social pour s'emparer d'une quantité massive d'informations personnelles. Le Black-hat SEO a également constitué un important vecteur de dissémination de malwares au cours de la première moitié de 2010. Des célébrations populaires, comme la Fête des Mères ou la Saint-Valentin, ou même des catastrophes naturelles, comme la tornade au Guatemala et les glissements de terrains, ont été exploitées à fond par les créateurs de malwares, par l'intermédiaire d'offensives JavaScript, pour déployer de faux antivirus ou installer des portes dérobées sur les ordinateurs d'utilisateurs insouciants. Le Web reste le vecteur privilégié de la propagation de malwares, notamment quand il s'agit des sites de socialisation les plus influents et très fréquentés. De dangereux exploits zero-day profitant des failles de sécurité de logiciels aussi courants que le navigateur Internet Explorer de Microsoft®, Adobe® Reader®, Adobe® Flash Player® et même Adobe® Photoshop® CS 4, ont également joué un rôle clé dans le paysage des malwares de la première moitié de l'année 2010. Certains exploits d'Internet Explorer ont même été utilisés dans des attaques à l'encontre de sociétés aussi importantes que Google, Adobe® et Rackspace®. Des chevaux de Troie de type tentatives de chantage (Ransomware) ont fait une percée au cours de la première moitié de 2010. La plupart d'entre eux prenaient pour cible des utilisateurs peer-to-peer, prétextant d'un non-respect des droits d'auteurs pour les menacer de poursuites. Un des exemples illustrant le mieux cette méthode est celui de Trojan.Maer.A, une e-menace véhiculée par les plateformes Torrent dont il sera question plus loin dans ce document. Les virus contaminateurs de fichiers et destructeurs de données ont fait leur retour au cours des trois premiers mois de 2010. Même si leur activité est restée de très courte durée, leur potentiel destructif a largement compensé cette brièveté, provoquant d'importants dégâts, tant en termes financiers qu'au niveau des données des utilisateurs. Au cours du premier semestre 2010, les hameçonneurs ont principalement concentré leurs efforts à se faire passer pour Paypal et eBay. La banque HSBC se situe au troisième rang des victimes, Poste Italienne et EGG clôturant la liste des organisations les plus souvent travesties. Le rythme du spam pharmaceutique a augmenté au cours du 1er semestre 2010, allant jusqu'à atteindre 66 % de la totalité du spam. Par comparaison, au cours de la seconde moitié de 2009, le spam pharmaceutique n'atteignait "que" 51 %. Page 4
  • 5. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Les malwares vedettes • Les réseaux sociaux et les services Web 2.0 sont devenus au cours des six derniers mois les principaux canaux de dissémination de malwares. Les auteurs de malwares spéculent sur des événements internationaux et le nom de vedettes du spectacle pour allécher des utilisateurs naïfs à télécharger et exécuter le malware. La Coupe du monde de Football et les glissements de terrains au Guatemala ne sont que deux des nombreux événements utilisés pour optimiser le Black-Hat SEO et améliorer le classement des sites web diffuseurs de malwares. • Trojan.AutorunInf.Gen est l'ennemi numéro un pour la période de janvier à juin 2010. Il représente 11,26% du total des infections dues aux malwares. La technique autorun est massivement utilisée par les créateurs de vers en tant que méthode alternative pour diffuser leurs œuvres via des partages réseau ou des périphériques USB / SB / CF. Parmi les plus célèbres familles de malwares utilisant la fonction autorun de Windows figurent Downadup, Palevo. • Les vers de messagerie instantanée ont porté les malwares à un niveau inconnu jusqu'à présent. Worm.P2P.Palevo.DP a attaqué début mai 2010 les utilisateurs non protégés de Yahoo!® Messenger et de Windows Live® Messenger (anciennement MSN® Messenger). La dissémination très agressive du ver s'est propagée au moyen d'un composant bot capable de continuer de spammer le ver, comme de télécharger différents logiciels malveillants sur l'ordinateur atteint. Une semaine plus tard, Backdoor.Tofsee se rabattait aussi bien sur les utilisateurs de Skype™ que de Yahoo!® Messenger : ce logiciel malveillant particulièrement sophistiqué comportait un composant rootkit1 pour protéger son code de toute suppression et analyse. • Les vers MBR ont fait leur retour avec des mécanismes viraux renouvelés. Fin janvier a vu émerger Win32.Worm.Zumuse.A, combinant dangereusement virus, rootkit et ver. Au cours de l'infection le ver commence par compter les jours. Quarante jours après l'infection2, il efface le Master Boot Record du disque dur, rendant ainsi le système d'exploitation incapable de démarrer. • Les faux logiciels antivirus ont été munis de nouvelles caractéristiques destinées à contraindre les utilisateurs à acheter des applications inutiles. Par exemple, les plus récents types de faux antivirus prennent le contrôle total de l'ordinateur de l'utilisateur en limitant l'accès à certaines des applications installées localement (comportement de type “prise d’otage de données”), ou en envoyant des quantités significatives de données à leur base de départ. • Les messages de type hameçonnage ne représentent plus désormais que 1 % du spam mondial – en baisse par rapport aux 7 % enregistrés au cours de la fin du second semestre 2009. 1 Pour plus d’informations sur Backdoor.Tofsee, veuillez consulter la description suivante : http://www.malwarecity.com/blog/malware-alert-rootkit-based-skype-worm-opens-backdoors-810.html 2 http://www.malwarecity.com/blog/malware-alert-win32wormzimusea-the-hard-disk-wrecker-736.html Page 5
  • 6. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Les menaces de type malware Tandis que la seconde moitié de 2009 avait été incontestablement dominée par le ver Downadup, les principales menaces des six premiers mois de 2010 ont été de type autorun. Au premier rang des malwares de la première moitié de 2010 figure Trojan.AutorunInf.Gen, un détecteur générique qui intercepte des fichiers autorun.inf hautement dissimulés appartenant à une vaste gamme de familles de malwares. Les principaux pays diffuseurs de malwares Figure 1 : Diffusion de malwares classée par pays Ce camembert illustre le Top 10 du classement des pays qui diffusent le plus de malwares. Au cours des six derniers mois, la Chine a été le pays le plus actif en termes de propagation de malwares, suivie par la Fédération de Russie. Ces deux pays sont connus pour le laxisme de leur législation concernant la cyber- criminalité, comme pour leur hébergement de nombreuses sociétés "protégées" – par exemple Russian Business Network, officiellement fermée (mais en fait toujours très active), Troyak (supprimée en mars 2010), ou PROXIEZ-NET (disparue en mai 2010). Si la Fédération de Russie et la Chine sont les principaux diffuseurs de Zeus C & C / de packs d’exploits et de spams pour les médicaments, le Brésil – qui se place au troisième rang- possède une industrie particulière : les très dangereux chevaux de Troie banquiers, généralement écrits en Delphi3. Les autres pays du classement diffusent des malwares. 3 Pour plus de détails sur les attaques de type Brazilian Bankers, Man-in-the-Middle et Man-in-the-Browser, veuillez vous reporter à l'article original de Malware City à l'adresse http://www.malwarecity.com/blog/banker- trojans-whos-been-spying-on-you-lately-781.html Page 6
  • 7. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Le Top malwares Janvier – Juin 2010 01. TROJAN.AUTORUNINF.GEN 11,26% 02. Win32.Worm.Downadup.Gen 5,66% 03. EXPLOIT.PDF-JS.GEN 4,80% 04. Trojan.Clicker.CM 3,18% 05. WIN32.SALITY.OG 2,9% 06. TROJAN.WIMAD.GEN.1 2,68% 07. EXPLOIT.PDF-PAYLOAD.GEN 2,32% 08. Trojan.Autorun.AET 2,08% 09. WORM.AUTORUN.VHG 1,90% 10. Trojan.FakeAV.KUE 1,76% 11. AUTRES 6,46% Figure 2 : Top 10 des menaces de type malwares au 1er semestre 2010 1. Trojan.AutorunINF.Gen Trojan.AutorunINF.Gen se situe au premier rang du classement de BitDefender des malwares du premier semestre, avec un pourcentage de plus de 11 % du montant total des infections. Conçu à l'origine pour faciliter l'installation d'applications présentes sur des supports amovibles, la fonction Autorun de Windows a été utilisée à grande échelle comme moyen d’exécuter automatiquement le malware dès qu'un périphérique USB ou de stockage externe infecté est branché. Contrairement aux fichiers autorun.inf légitimes, ceux utilisés par divers malwares se présentent généralement de manière détournée, comme le montre la figure ci-dessous. Page 7
  • 8. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Figure 3 : Fichier autorun.inf malveillant. Les commandes essentielles du fichier sont affichées en blanc. Certains des types de malwares les plus représentatifs de ceux abusant de la propriété autorun sont Win32.Worm.Downadup et ceux de la nouvelle génération des vers peer-to-peer de la famille Palevo. Avant la sortie du second service pack de Vista, les systèmes d'exploitation Windows suivaient n'importe quelle instruction d'un fichier autorun.inf et exécutaient aveuglément tout fichier binaire désigné par le fichier autorun. Compte tenu des risques auxquels étaient exposés les utilisateurs, Microsoft a ensuite désactivé la fonction autorun de tous les périphériques, à l'exception des disques de type DRIVE_CDROM4. 2. Win32.Worm.Downadup.Gen Au deuxième rang du classement de l'ensemble des infections du premier semestre 2010, Win32.Worm.Downadup.Gen n'a plus besoin d'être présenté : au cours des derniers 18 mois, il a réussi à infecter un nombre inégalé d'ordinateurs dans le monde entier, et a fait les gros titres de toutes les revues d'informatique. Il est évident que ce ver a été créé par une équipe de cyber-criminels professionnels, car il utilise des API Windows peu connues et résiste extrêmement bien à la désinfection. Par exemple, le ver se protège de l'effacement en supprimant toutes les autorisations des fichiers NTFS pour tous les utilisateurs du système, sauf celles se rapportant à execute et directory traversal5. 3. Exploit.PDF-JS.Gen Cet agglomérat d'exploits PDF est classé par BitDefender au troisième rang de sa liste avec 4,80 % du nombre total d'infections. Cette détection générique concerne des fichiers PDF spécialement conçus pour exploiter diverses vulnérabilités existant dans le moteur Javascript d' Adobe® Reader® et exécuter des codes malveillants sur l'ordinateur de l'utilisateur. A l'ouverture d'un fichier PDF infecté, un code Javascript spécialement conçu déclenche à distance le téléchargement de binaires malveillants. 4 Les disques CD-ROM et DVD-ROM sont en lecture par défaut et ne peuvent être infectés une fois gravés. 5 Pour plus d'informations sur le ver Downadup, comme sur notre outil de désinfection gratuit, veuillez visiter le site : http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html Page 8
  • 9. Rapport sur les e-menaces - BitDefender 1er semestre 2010 4. Trojan.Clicker.CM Trojan.Clicker.CM atteint le score de 3,18 % du nombre total d'ordinateurs infectés. Au cours des six premiers mois de 2010, Clicker.CM a été détecté en particulier sur des sites Web hébergeant des programmes illégaux, comme des crackeurs, des générateurs de clés et de numéros de série destinés à des logiciels à succès. Ce cheval de Troie est notamment utilisé pour imposer des publicités dans des fenêtres popup et ainsi augmenter les profits publicitaires des cyber-criminels. 5. Win32.Sality.OG La 5ème place, avec 2,90 % des infections provoquées globalement, revient à Win32.Sality.OG. Cette menace électronique est un contaminateur polymorphe de fichiers qui ajoute son code crypté à des fichiers exécutables (binaires .exe et .scr). Il déploie un rootkit et anéantit le logiciel antivirus tournant sur l'ordinateur de façon à dissimuler sa présence sur la machine infectée. 6. Trojan.Wimad.Gen.1 Au 6ème rang du classement de BitDefender des principaux malwares de la première moitié de 2010, Trojan.Wimad.Gen.1 exploite une caractéristique des fichiers ASF et WMV, qui permet à leur créateur de spécifier l’URL où se trouve le codec voulu s’il n’est pas déjà installé sur l’ordinateur. Cependant, au moment de lire le fichier, Windows Media® Player essaie de télécharger et d’installer le codec en question, lequel –dans la plupart des cas- n’est qu’un adware ou un faux antivirus se présentant sous la forme d’une mise à jour de Flash. Figure 4 : URLANDEXIT et le lien de redirection La plupart des fichiers vidéo qui exploitent cette caractéristique sont téléchargés sur les sites peer-to-peer ou torrent et se font passer pour des films à succès ou des épisodes longtemps attendus de séries télévisuelles. 7. Exploit.PDF-Payload.Gen Exploit.PDF-Payload.Gen occupe le 7ème rang du Top 10 des malwares du premier semestre 2010, avec 2,32 % du total des infections. Il s’agit d’une détection générique qui traite les fichiers PDF spécialement conçus pour exploiter les vulnérabilités d'Adobe® Reader®. 8. Trojan.Autorun.AET Trojan.Autorun.AET est un logiciel malveillant qui se propage dans les dossiers Windows partagés, ou par l’intermédiaire de périphériques amovibles (périphériques de stockage branchés sur le réseau ou disques mappés). Le cheval de Troie exploite la fonction Autorun des systèmes d'exploitation Windows pour s'exécuter automatiquement au moment où un périphérique infecté est branché. Il se situe au huitième rang avec 2,08 % des infections à l'échelle mondiale. Page 9
  • 10. Rapport sur les e-menaces - BitDefender 1er semestre 2010 9. Worm.Autorun.VHG Worm.Autorun.VHG est un ver Internet/réseau qui exploite la vulnérabilité Windows MS08-067 pour s'exécuter à distance en utilisant un package RPC spécialement conçu (une méthode également utilisée par Win32.Worm.Downadup). Le ver occupe la neuvième place avec 1,9 % de l'ensemble des infections. 10. Trojan.FakeAV.KUE Trojan.FakeAV.KUE clôture la liste du Top 10 des malwares enregistrés au premier semestre 2010, avec 1,76 % du nombre total d'infections. La détection bloque le code JavaScript utilisé dans les pages web pour déclencher de fausses alertes et simuler des analyses. Ces scripts sont hébergés sur des sites malveillants, mais aussi par des services web légitimes compromis. Page 10
  • 11. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Botnets classiques Les botnets constituent l'ultime outil des auteurs de malware, dans la mesure où ils peuvent pratiquement être utilisés à n'importe quelle fin liée comme l'envoi de spam ou des attaques massives DDoS. Des éléments de botnets sont vendus ou loués pour un projet donné à différents groupes de cybercriminels pour qu'ils puissent construire leurs propres projets. Au cours de la première moitié de 2010, les botnets les plus importants en termes de taille et d'activité ont été Rustock (dont la taille a presque doublé par rapport au deuxième semestre 2009), Kobcka (14,5 %) et Kolab (11,2 %). Alors que Rustock possède de multiples couches de protection, y compris un pilote de rootkit et du code hautement crypté, les bots Kobcka téléchargent furtivement leurs composants de spam (les bots CutWail) au démarrage et les injectent dans des processus critiques comme svchost.exe. Cette méthode permet au botnet Kobcka de faire en sorte que les bots Cutwail soient chargés même dans le cas où tous les serveurs Cutwail C & C ont été détruits. Figure 5 : Activité des botnets classée par famille de bots Page 11
  • 12. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Botnets Web 2.0 Pendant des années, l'utilisation de botnets Web 2.0 a été considérée comme une méthode moins pratique que celle fondée sur le protocole IRC, simplement parce que chaque bot nécessitait l'enregistrement d'un compte séparé auprès du fournisseur du service Web 2.0. Cependant, des développements récents, qui ont débuté en août 2009 et continué de progresser au cours du premier semestre 2010, ont montré que les auteurs de malwares étaient prêts à compenser les défauts technologiques potentiels. Cette année a vu l'émergence du premier botnet viable exploitant Twitter, même s'il est suffisamment primaire pour n'être qualifié que de "preuve de concept". Figure 6 : Faux compte Twitter utilisé pour envoyer des commandes. N.B. Ceci correspond à un compte fictif et n’a rien à voir avec un botnet opérationnel. Les bots utilisés pour corrompre les PC ont été créés avec un outil expérimental appelé TwitterNET, qui permet à un attaquant de spécifier quel nom d'utilisateur Twitter les bots doivent contrôler pour émettre des commandes. Un autre SDK en circulation comporte des options de configuration supplémentaires relatives aux émissions de commandes. Il existe deux problèmes principaux à résoudre pour la mise à niveau du SDK mentionné : A) Le plus faible lien de l'infrastructure d'un botnet Twitter est le compte Twitter infecté ; s'il est suspendu, le botnet va errer à la recherche de commandes qui ne seront jamais émises. B) De tels noms d'utilisateurs sont facilement reconnaissables. La Figure 6 montre comment se présente le compte d'un attaquant après l'émission de plusieurs commandes. Une recherche Twitter sur ".REMOVEALL" fait apparaître tous les comptes compromis qui seront par conséquent suspendus. Page 12
  • 13. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Figure 7: La deuxième version de l’outil TweBot permet de créer des commandes personnalisées Les botnets orientés Youtube ont également été repérés en analysant le "bruit de fond"6 engendré par les commentaires de vidéos spécifiques. Cependant, l'échelle de tels botnets est extrêmement réduite, du fait que –à notre connaissance- il n'existe aucun outil de création de bots publiquement disponible. 6 Ce que l’on appelle le bruit de fond est encodé avec un algorithme base64 pour dissimuler les commandes émisent par le bot contrôleur. Cependant, dans la mesure où les commentaires base64 sont suffisamment suspects et extrêmement faciles à décoder, la méthode ne semble pas devoir devenir efficace à une grande échelle sur Youtube. Page 13
  • 14. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Malwares Web 2.0 Au cours du premier semestre 2010, la plupart des malwares s'est disséminé par l'intermédiaire d'Internet, les cyber-criminels s'intéressant particulièrement aux services Web 2.0, comme les réseaux de socialisation, la messagerie instantanée et les sites de partage de fichiers. Malwares via messageries instantanées Mai 2010 a été le théâtre d'une série de menaces visant les utilisateurs non protégés de Yahoo!® Instant Messenger et de Skype™. Initialement apparu en Roumanie, le ver Delphi Win32.Worm.IM.J allait plus loin qu'un ver YIM se propageant à volonté – le composant de téléchargement intégré laisse la porte ouverte à d'autres menaces à haut risque. Win32.Worm.Palevo.DS lui a rapidement fait suite et a pris d'assaut les utilisateurs de Yahoo!® Messenger et de Windows Live® Messenger (anciennement MSN® Messenger). Ce descendant de la famille Palevo possède la propriété de pouvoir détruire le pare-feu Windows, phase critique de l'offensive du malware qui est déclenchée par le composant spam de Palevo une fois l’infection transmise. Figure 8 : Les messages envoyés par Win32.Worm.Palevo.DS pour inciter les utilisateurs à en télécharger un exemplaire. A la mi-mai, Backdoor.Tofsee a fait un grand retour sous le feu des projecteurs. Cette porte dérobée incroyablement puissante visait essentiellement les utilisateurs de Skype™ et de Yahoo!® Messenger et seuls les systèmes exécutant l'une ou l'autre de ces applications pouvaient être infectés. Si la porte dérobée ne trouvait ni l'un ni l'autre de ces clients de messagerie instantanée, elle se retirait discrètement et s'effaçait elle- même du système. Backdoor.Tofsee est protégée par un pilote de rootkit et possède une protection multi-couche qui rend l'analyse et la suppression extrêmement difficile. En dehors de sa dissémination qui s'apparente à celle d'un ver, le mécanisme de Backdoor.Tofsee possède aussi un composant qui permet à un attaquant de prendre à distance le contrôle total de la machine infectée. Page 14
  • 15. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Figure 9 : Pour ne pas éveiller la méfiance, le ver n’envoie de messages qu’au moment où des conversations sont en cours. Page 15
  • 16. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Malwares Peer-to-Peer Avril a vu l'émergence d'un nouveau et innovant type de malwares conçu pour soutirer de l'argent à des utilisateurs craintifs en train d'effectuer des téléchargements peer-to-peer. Cette nouvelle menace, identifiée par BitDefender comme étant Trojan.Maer.A, a frappé le web le 11 avril, visant essentiellement les utilisateurs d'ordinateurs téléchargeant des fichiers via des services de partage utilisant le protocole BitTorrent®. A peine installé, le cheval de Troie annonçait qu'il avait détecté un contenu piraté installé dans le système (même sur des systèmes Windows® authentiques à 100 %) et "offraient" de remettre les choses en ordre pour des sommes allant jusqu’à 399,95 dollars. Pour plus de crédibilité, le cheval de Troie affiche plusieurs logos, dont ceux de la RIAA® et de la MPAA®. Ce malware contient de nombreux liens vers la Fondation ICCP, qui se présente comme étant “un cabinet juridique qui assiste les détenteurs de droits d’auteur à protéger leur propriété intellectuelle”7. Il affiche aussi des “pièces à conviction” sous forme d’une liste de tous les fichiers .torrent que l’utilisateur aurait téléchargé dans le dossier %AppData%. Figure 10 : Message d’avertissement affiché par le cheval de Troie Trojan.Maer.A. 7 Texte affiché sur la page web (désormais retirée) de cette pseudo-fondation. Page 16
  • 17. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Après avoir réussi à infecter le système, le cheval de Troie se comporte comme un faux antivirus classique en affichant de nombreuses fenêtres annonçant une "Violation des droits d'auteur", et en redirigeant les navigateurs vers la page d'accueil de la Fondation ICCP. Les escroqueries aux pseudo-codecs ne datent plus d'hier, et elles se terminent toujours mal pour l'utilisateur final. L'une des méthodes les plus utilisées pour extorquer de l'argent aux utilisateurs non avertis n'a qu'une origine : Trojan.Wimad. Ce cheval de Troie particulier se sert d'une caractéristique des fichiers ASF8 pour orienter l'utilisateur vers un site web susceptible de lui fournir le codec adéquat, au cas où il ne serait pas installé sur l’ordinateur. Trojan.Wimad est notamment transmis sur les sites peer-to-peer sous l’apparence de films à succès dont il arrive que la première n’ait même pas encore eu lieu. Dès que l’utilisateur lance le film piraté avec Windows® Media Player, il est redirigé vers un site vendant un lecteur vidéo supposé lui permettre de regarder le film. Inutile de dire que le film ne sera jamais visible, même après le paiement et l’installation du lecteur en question. Il est intéressant de noter que le coût annoncé est de 0,95 dollars, mais que ce montant ne couvre que trois jours d’essai. Si l’abonnement n’est pas résilié dans les trois jours, l’utilisateur est alors facturé 29,95 dollars par mois. Figure 11 : Faux fichier AVI invitant les utilisateurs à acheter divers lecteurs vidéos L’autre méthode repose également sur une redirection de l’URL vers une page web proposant à l’utilisateur un codec –inexistant- gratuit. Dès que les utilisateurs non avertis installent le codec (en fait l’un des nombreux faux antivirus), ils sont sans cesse sollicités d’acheter la “version complète” du produit. 8 Pour une explication complète du fonctionnement de la famille des Trojan.Wimad consultez le document http://www.bitdefender.com/VIRUS-1000455-en--Trojan.Wimad.Gen.1.html Page 17
  • 18. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Malwares visant les utilisateurs de Facebook® En tant que plus grand réseau social du monde, Facebook® est constamment dans le collimateur des cyber- criminels qui tentent, soit de récolter le maximum des informations personnelles disponibles dans les profils des utilisateurs, soit d’inciter les détenteurs de compte à participer à différentes manœuvres illicites. Au cours de la première moitié de 2010, la plupart des incidents de sécurité visant les utilisateurs de Facebook® ont été liés à la prolifération du ver Koobface, à l’augmentation des pratiques de clickjacking, ainsi qu’au déploiement d’adwares par l’intermédiaire d’applications malveillantes visant Facebook®. Figure 12 : Le ver Koobface commence par envoyer des messages à tous les amis des utilisateurs infectés. Le message contient ce qui ressemble à une URL vers une page vidéo, mais aboutit à un fichier exécutable infecté par Koobface. Après l’apparition début août 2008 d’une variante A assez sommaire affectant uniquement les utilisateurs de myspace.com9, le ver s’est métamorphosé en une véritable application web avec un potentiel destructeur inimaginable. Les variantes suivantes du ver étaient modelées différemment de manière à transformer chacune de ses caractéristiques en un module distinct, ce qui le faisait ressembler à un logiciel disponible sur le marché. Win32.Worm.Koobface est rapidement devenu un outil agressif s’attaquant à la plupart des réseaux sociaux, y compris, mais pas exclusivement, à myspace.com, facebook.com, hi5.com, fubar.com, tagged.com, Friendster.com, et twitter.com. Il a également changé de comportement : de ver qui se contentait de se disséminer parmi les murs ou les profils d’utilisateurs infectés, il s’est transformé en un outil extrêmement dangereux, capable de voler des données, d’intercepter ou de détourner le trafic ou de lancer des campagnes de publicité dans le navigateur des utilisateurs. Au moment de la rédaction de ce rapport, Win32.Worm.Koobface est à l’origine de la création d’un botnet foudroyant organisé au sein d’un réseau très puissant de centres de commande et de contrôle au service de ses maîtres, y compris l’espionnage d’opérations bancaires en ligne et le téléchargement forcé d’utilitaires et faux antivirus sur les systèmes déjà infectés. Le Clickjacking (détournement de clic) a également joué un rôle important dans la dissémination du malware chez les utilisateurs de Facebook®. Cette technique consiste à exploiter une fonctionnalité de Facebook®, qui permet au développeur d’applications d’enregistrer un bouton “j’aime” anonyme sans ajouter des contrôles de 9 La description technique de Koobface.A par BitDefender : http://www.bitdefender.com/VIRUS-1000362-en-- Win32.Worm.KoobFace.A.html Page 18
  • 19. Rapport sur les e-menaces - BitDefender 1er semestre 2010 sécurité supplémentaires. Un iframe caché ou transparent s'installe au-dessus d’un bouton légitime, connu des utilisateurs. Dès qu'ils cliquent sur ce qu'ils connaissent – généralement une boîte de messagerie – ils sont immédiatement redirigés vers une autre page et priés de remplir des formulaires, de confirmer leurs références, de répondre à quelques questions ou de cliquer sur d'autres liens. Cette page a évidemment un aspect légitime et sûr, au point que l'utilisateur le moins averti techniquement n'a strictement aucune idée de ce qui est en train de se produire. Figure 13 : Astuce de clickjacking utilisée pour poster un lien vers un site de sondages sur le mur de la victime Les attaques de type Cross-Site-Request Forgery (XSRF) ont également contribué à la propagation de divers messages et liens de mur à mur. Ce type d’attaque repose sur des iFrames qui exécutent des scripts dont l’objectif est de manipuler Facebook® pour qu’il écrive un message sur votre mur comme s’il provenait d’un ami. Contrairement aux attaques XSRF précédemment constatées, qui postaient des liens vers des sites de hameçonnage ou de malwares sur le mur des utilisateurs, les pratiques de cette année se sont pour la plupart limitées au postage de publicités. Figure 14 : Publicité pour le travail à domicile envoyé en masse par la victime, à son insu, via un “exploit” XSRF Les six premiers mois de 2010 ont vu paraître un certain nombre de nouvelles applications malveillantes conçues pour s’intégrer à Facebook®. Ces applications ne sont ni hébergées ni sanctionnées par Facebook® ; on peut donc facilement imaginer que certaines d’entre elles ont des ordres du jour dissimulés. Page 19
  • 20. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Ces applications malveillantes sont généralement remplies d'un contenu factice et de références à des amis pour donner confiance aux victimes et les persuader de la légitimité de ce qu'elles sont sur le point de visiter. La victime arrive habituellement sur la page de l'application en suivant un lien posté sur son mur par un de ses amis compromis. L’application lui demande alors confirmation pour obtenir des données personnelles, envoyer des messages de sa part, et avoir la permission de toujours envoyer ces messages sans redemander de confirmation. L’exemple ci-dessous est celui de l’application “Vidéo du cours de danse” décrite en détail dans l’article de Malware City. Figure 15 : Tutoriel en quatre étapes pour l’installation d’une application de type adware à partir d’un lien sur votre mur. Page 20
  • 21. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Spam et hameçonnage Le hameçonnage est incontestablement l'un des secteurs le plus lucratif du spam, notamment quand il vise les clients de banques ou de boutiques en ligne. Cependant, comme les sociétés possédant des sites web et l'industrie anti-malware ont consacré d'importants moyens pour écarter ou bloquer les pages de hameçonnage, les cyber-criminels ont maintenant choisi d'envoyer des messages dont la page litigieuse est jointe au courrier électronique. En outre, dans la mesure où les documents attachés sont beaucoup plus faciles à analyser, au cours d'une vague récente d’hameçonnage Visa®, les questionnaires étaient cryptés par l'intermédiaire de la fonction eval() de Javascript. Figure 16 : Hameçonnage Visa à partir d’un formulaire adressé en pièce jointe au courrier. La plupart de ces messages sont rédigés dans un anglais assez médiocre, ce qui nous incite à penser que cette vague de spam provenait d'une région d'Europe de l'Est. D'autres attaques classiques d’hameçonnage émanent de packs d’hameçonnage pouvant être troqués sur des forums spécialisés. Figure 17 : Page d’hameçonnage HSBC créée à partir d’un kit d’hameçonnage disponible sur certains forums. Page 21
  • 22. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Les menaces de type spam Le spam a constitué l'un des problèmes les plus constants auxquels l'utilisateur d'un ordinateur a eu à faire face au cours du premier semestre 2010. La plupart des messages non sollicités envoyés dans le monde entier ont été les célèbres publicités de Canadian Pharmacy qui ont représenté à peu près 66 % du spam mondial. Répartition du spam par pays d’origine Bien que la Russie ait enregistré une légère régression au cours du quatrième trimestre 2009 – principalement à cause de la suppression soudaine des fournisseurs d’hébergement complaisants10, elle est rapidement redevenue l'un des trois premiers spammers du top mondial. Répartition du spam par lieu d’origine - Janvier – Juin 2010 Valeurs actuelles (1er semestre 2010) Etats-Unis 28,71% Chine 5,21% Russie 3,65% Argentine 2,14% Royaume-Uni 2,13% Allemagne 1,84% Brésil 1,65% Canada 1,60% Roumanie 1,58% Japon 1,50% Autres 50,00% Les Etats-Unis d'Amérique et la Chine sont les deux pays les plus prolifiques, en particulier à cause des infestations massives de malwares expéditeurs de spam, comme Rustock, Kobcka et autres spambots. Le Canada, la Roumanie et le Japon figurent en fin de classement du top du spam du premier semestre 2010, avec une moyenne se situant à 1,5. La majorité du spam émis dans ces trois pays est le résultat de l'activité de groupes importants plutôt que le fait de spammers locaux faisant de la publicité pour leur entreprise. 10 Ces services d’hébergement ont des politiques permissives vis-à-vis des abus. Ils permettent notamment à leur clients d’envoyer / retransmettre du spam et d’utiliser leurs serveurs pour héberger des pages dédiées à l’hameçonnage et au déploiement de malwares. Page 22
  • 23. Rapport sur les e-menaces - BitDefender 1er semestre 2010 . Figure 18 : Répartition du spam par pays d’origine Répartition du spam par catégories Au cours du premier semestre 2010, le spam pharmaceutique a constitué la part la plus importante des messages non sollicités envoyés dans le monde entier. Il a également augmenté de façon alarmante, réussissant à passer de 50 à 66 % en seulement six mois. Ce phénomène semble avoir pour origine la Russie, l'Ukraine et la Chine. La plupart de ces spams font de la publicité pour Canadian Pharmacy, une boutique centralisée qui combine fourniture de faux médicaments et escroquerie à la carte bancaire. Le site de Canadian Pharmacy a un nombre invraisemblable de clones hébergés, soit par des sociétés complaisantes en Chine, soit directement sur les ordinateurs compromis qui font partie de botnets exploitant la technique fast- flux. Page 23
  • 24. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Les copies de produits arrivent au deuxième rang des principaux secteurs d’activité du spam, représentant presque 7 % de la quantité de spam expédiée dans le monde entier. Ces offres englobent des contrefaçons de marques prestigieuses, en particulier des montres et des accessoires de mode (lunettes de soleil, sacs à main ou de voyage, et bijouterie). Figure 19 : Site Web de montres contrefaites promues par spam La crise économique mondiale a également eu un puissant impact sur la nature du spam, dont presque 5 % concernent des offres d'assurance et de prêts, catégorie qui se situe mondialement au troisième rang. Le spam contenant des malwares empaquetés a beaucoup diminué, passant de 6 % au deuxième semestre 2009 à seulement 3 % au cours des six premiers mois de 2010. Cependant, les fichiers malveillants attachés sont devenus de plus en plus menaçants : les bots Zeus, les cartes de vœux Waledac et les vers Mabezat.J ne sont que des exemples de manœuvres destructrices qui ont pris d'assaut les boîtes aux lettres des utilisateurs en 2010. Page 24
  • 25. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Spam : les tendances La première moitié de 2010 a vu les messages spam atteindre 86,2 % du nombre total de messages électroniques envoyés dans le monde. Le spam textuel reste la forme la plus répandue des messages non sollicités, bien qu'on ait constaté tout au long du premier trimestre quelques pointes de spam image. La plupart des messages contenant des images sont des publicités pour les produits pharmaceutiques canadiens et sont d’une taille allant de 6 à 12 Ko. La taille moyenne des messages textuels tourne autour de 5,5 Ko. Figure 20 : Le spam proposant des comprimés représente la majeure partie du courrier non sollicité contenant des images. Des célébrations internationales, comme le jour de la Saint-Valentin, ou des événements de grande portée (la coupe du monde de football par exemple) ont été exploités par l'envoi de messages ciblés véhiculant des malwares (notamment les bots Waledac déguisés en cartes de vœux) ou conduisant vers des sites web d’hameçonnage vendant de faux billets pour la coupe du monde. D'autres messages spam véhiculent des documents attachés DOC ou PDF ayant l'apparence de formulaires d'imposition, d'offres d'emploi, ou même de notifications de transactions bancaires, qui, une fois ouverts, profitent d’exploits zero-day identifiés dans les logiciels du commerce pour exécuter un code arbitraire sur l’ordinateur des utilisateurs. Page 25
  • 26. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Figure 21 : Fichier exécutable imbriqué déguisé en document anodin imitant un relevé bancaire La catastrophe climatique au Guatemala a également incité les spammers comme les auteurs de malwares à tabler sur la curiosité des utilisateurs et à les mystifier en les dirigeant vers des pages téléchargeant des malwares. Les pages Black-SEO concernant les glissements de terrains au Guatemala ont été ajoutées à un nombre impressionnant de sites web piratés. Visiter une de ces pages redirigeait la victime vers le faux antivirus Rither ou des exploits zero-day Adobe PDF. Figure 22 : Page piratée d’une société, optimisée pour profiter du trafic engendré par l’intérêt porté aux glissements de terrains au Guatemala. Page 26
  • 27. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Hameçonnage et usurpation d’identité Le hameçonnage, la plus nuisible espèce de spam, a poursuivi son évolution au cours des premiers mois de 2010, bien que beaucoup d'hébergeurs de sites web et de moteurs de recherche aient multiplié leurs efforts pour bloquer les pages dangereuses. Figure 23 : Les organismes les plus touchés par l’hameçonnage au cours du 1er semestre 2010 Au cours de la première moitié de l'année, les organismes financiers ont été la cible préférée des cyber- criminels, et destinataires de plus de 70 % des messages de hameçonnage. Les réseaux sociaux ont également été en ligne de mire, car les profils des utilisateurs sont des sources d'informations faciles d'accès et les comptes compromis peuvent être efficacement utilisés pour lancer des attaques d’hameçonnage. Figure 24 : Page PayPal d’hameçonnage. Afin d’être plus crédible, le pirate a créé un dossier appelé www.paypal.fr qui contient effectivement le formulaire d’hameçonnage. Page 27
  • 28. Rapport sur les e-menaces - BitDefender 1er semestre 2010 La plupart des messages de hameçonnage spammés pendant le premier trimestre 2010 étaient rédigés en anglais (75 % de tous ceux traités par BitDefender), suivi par le français (13 %) et le suédois (3%). Le russe arrive en quatrième position avec à peine 2 %, le dernier rang revenant à des messages non sollicités écrits en bulgare, représentant 0,42 % de l'ensemble des messages de cette catégorie. Les hébergeurs les plus accueillants pour les hameçonneurs se trouvent en Russie et en République Tchèque, qui hébergent presque 50 % des pages concernées. Les sociétés écrans opérant en Russie procurent hébergement et serveurs de spam à des organisations cyber-criminelles internationales impliquées dans l’hameçonnage, le spam, les faux antivirus tout en accueillant des centres de commandes et de contrôles de botnets comme Zeus, Pushdo et Rustock. Figure 25 : Principaux pays hébergeurs de pages d’hameçonnage Bien qu'ils fassent partie des victimes les plus convoitées par les cyber-attaquants, les organismes financiers ne sont pas les seuls à souffrir du hameçonnage. Les communautés de jeux en ligne comme Steam® et World of Warcraft® sont aussi l'objet de l'intérêt des hameçonneurs. Une fois qu'ils ont réussi leur attaque et obtenu les données de connexion, non seulement les attaquants ont accès aux coordonnées de la carte bancaire stockées pour facturation, mais ils peuvent également vendre, commercialiser ou transférer les données de la victime concernée. Page 28
  • 29. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Figure 26 : Page d’hameçonnage de Steam en attente des données de l’utilisateur Page 29
  • 30. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Vulnérabilités, « exploits » et brèches de sécurité Comparés aux six derniers mois de 2009, les six premiers de 2010 ont été extrêmement riches en exploits zero-day, qui allaient de l'exploitation de vulnérabilités critiques de composants de Microsoft® (Windows® Internet Explorer® versions 6 à 8) à des bogues dans des logiciels tiers comme Adobe® PDF et Adobe® Flash Player entre autres. Les menaces de type exploits Janvier a vu surgir CVE-2010-0249, un exploit zero-day de Windows® Internet Explorer® qui a profité d'une vulnérabilité liée à une corruption de mémoire affectant toutes les versions, sauf la version 5.01, du Service Pack 4 de Microsoft Windows 2000. Intercepté par BitDefender sous le nom de Exploit.Comele.A, ce bogue zero-day a été largement utilisé pour déclencher une cyber-attaque à grande échelle nommée Operation Aurora. Parmi les organismes qui ont officiellement reconnu en avoir été victimes, on trouve Google™ 11, Adobe Systems Inc., Juniper Networks Inc. et Rackspace Ltd. D'après Google, l'exploit n'était pas simplement la recherche d'informations mais faisait partie d'un plan concerté d'offensives impliquant des aspects politiques et financiers. En outre, le code de l'exploit est tombé dans le domaine public avant que Microsoft® ait pu avoir la moindre chance de publier un correctif, ce qui a entraîné la conduite d'autres attaques entreprises par ceux qui avaient eu accès au code de l'exploit. En janvier a également été décelée une deuxième importante vulnérabilité, concernant Adobe® Reader®. Egalement connue sous le nom de CVE –2009-4324, cette brèche a affecté Adobe® Reader® et Acrobat 9.2 et des versions antérieures, et cette exploitation a entraîné des crashes, l’exécution à distance de code ainsi que la possibilité d’effectuer des attaques par script d’un site à l’autre. CVE-2009-4324 exploite une erreur dans l'implémentation de la méthode “Doc.media.newPlayer()” de JavaScript, qui permet de corrompre la mémoire quand un fichier PDF spécialement conçu est lancé. Le vendeur a émis le 12 janvier un correctif pour atténuer les conséquences d'attaques futures fondées sur cette méthode JavaScript particulière. Le mois de juin a été riche en surprises en termes de sécurité, les produits Adobe® constituant la cible principale. Comme beaucoup d’autres bogues zero-day visant Adobe® Reader®, le vecteur d’attaque de CVE- 2010-1297 se présentait comme un fichier PDF anormal contenant un code JavaScript spécialement conçu et un fichier .SWF imbriqué. L’exploit utilise le JavaScript imbriqué pour décrypter un script de shellcode, et permet l’exécution de code arbitraire à distance. Pour que l'attaque réussisse, il est nécessaire que le fichier authplay.dll soit présent sur le système ciblé. 11 Le gigantesque moteur de recherche a confirmé et décrit l'attaque dans un article intitulé "Une nouvelle approche de la Chine" posté sur le blog officiel de la société. Page 30
  • 31. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Autres risques menaçant la sécurité La fin du mois d’avril a été marquée par une attaque majeure contre une vaste gamme de logiciels CMS hébergés par différents fournisseurs. Des milliers de possesseurs de sites web ont vu leur système de gestion de contenu favori compromis par des fonctions encodées base64 injectées dans des pages PHP. A chaque fois, les instructions base64 redirigeaient le visiteur vers des sites web hébergeant de faux antivirus, mais uniquement quand le visiteur était arrivé sur le site via un moteur de recherche. Cette technique permettait au script de rester indécelable par tous les visiteurs accédant directement au site (y compris les administrateurs), tout en dirigeant l’ensemble du trafic en provenance des moteurs de recherche vers des pages web chargées de malwares. Les premières théories prétendaient que les sites web affectés tournaient sous des versions obsolètes et vulnérables de WordPress et sur des serveurs d'une société hôte particulière. Mais, deux jours plus tard, d'autres plateformes CMS utilisant le PHP, hébergées par des fournisseurs différents, étaient victimes du même genre d'infestation de fichiers. Des études ultérieures ont montré que la mauvaise configuration du serveur, associée à une attribution erronée des droits d’accès aux fichiers, avait joué un rôle majeur dans le succès de l'attaque. Page 31
  • 32. Rapport sur les e-menaces - BitDefender 1er semestre 2010 E-menaces : les prévisions Alors que les six premier mois de l’année 2010 ont été dominés par des e-menaces traditionnelles, telles que les chevaux de Troie et les vers, des exploits visant des applications tierces ont gagné du terrain, à la fois en nombre et en conséquences. Comme dans le cas de Exploit.Comele.A, les vulnérabilités zero-day peuvent être utilisées à des fins qui vont au-delà du vol d'identité ou de coordonnées bancaires, pour atteindre la puissance de véritables armes de guerre cybernétique et d'un espionnage industriel de haut niveau. Activité des botnets Les botnets constituant des mécanismes clés dans n'importe quelle infrastructure cyber-criminelle, leur développement et l'amélioration de leurs capacités va devenir la préoccupation principale des auteurs de malware. Cependant, dans la mesure où les botnets sont la plupart du temps dans la ligne de mire des autorités internationales et des fournisseurs de services Internet (comme le prouve la fermeture du botnet Mariposa (également connu sous les noms de Rimecud et Palevo)), des bots maîtres seront nécessaires pour expérimenter de nouvelles méthodes de coordination. • L'émergence récente d'outils de création de botnets, contrôlables via Twitter, pourrait constituer la pierre angulaire de la naissance d'une lignée extrêmement prolifique d'ordinateurs zombis. • Les botnets fast-flux vont également gagner du terrain, car de plus en plus d'hébergeurs de sites web ferment les comptes contenant des pages de hameçonnage, des packs d'exploits ou des applications expéditrices de spam. Non seulement les botnets fast-flux n’ont pas besoin d’hébergeurs complaisants, mais il est difficile aux autorités de trouver l’origine exacte de l'attaquant. Applications malveillantes Le premier semestre 2010 a vu réapparaître d'anciens types de malwares : des ransomwares et des virus qui écrasent le MBR des systèmes. Trojan.Maer.A, Application.Scareware.Keytz et différents autres au parfum de faux antivirus, ne sont que quelques-unes des applications qui poussent les utilisateurs à verser de l'argent pour ranimer leur ordinateur et qu'il fonctionne de nouveau. BitDefender estime que les faux antivirus de type ransomware vont se multiplier au cours de la seconde moitié de 2010 pour piéger leurs victimes en les convainquant d'acheter la "version complète". Réseaux de socialisation Facebook dépassant 500 millions d'utilisateurs, de nombreux auteurs de malwares vont s'intéresser à la plateforme de ce réseau social pour y exercer leur puissance. Certaines de ces attaques vont consister à utiliser des astuces d’ingénierie sociale (par exemple à lancer des offensives variées à partir d'ordinateurs infectés), et d'autres vont tenter d'exploiter les différentes vulnérabilités ou fonctions déjà présentes sur la plateforme. Les fuites de données personnelles vont contribuer massivement au succès de certaines attaques, en particulier quand ces données sont corroborées par des blogs personnels, des C.V. et d’autres renseignements pertinents. On peut également s'attendre à ce que des applications tierces jouent un rôle important dans les abus ciblant les réseaux sociaux. Page 32
  • 33. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Autres menaces Les logiciels déplombés et non authentiques vont également jouer un rôle clé dans la propagation de divers malwares. D'une part, la plupart des mécanismes destinés à contourner la protection des logiciels du commerce téléchargeables sur les portails “warez” contiennent déjà différents types de malwares, allant des keyloggers aux portes dérobées. D'autre part, des copies non conformes du système d'exploitation Windows® ne peuvent pas recevoir les dernières mises à jour de sécurité, ce qui laisse les ordinateurs qui les font tourner sans protection contre les prochains exploits zero-day et les vulnérabilités que l'on doit s'attendre à voir se manifester au cours des six prochains mois. Systèmes d'exploitation des mobiles Au cours de la seconde moitié de 2010, les menaces contre les mobiles vont encore rester rares, notamment du fait de la grande diversité de téléphones et de systèmes d'exploitation. Le Maemo de Google va continuer de bénéficier d'un parcours sécurisé, à la fois parce qu'il est construit sur une plateforme solide, dérivée de Debian Linux, et qu'il n'a pas réussi à devenir l'un des trois premiers systèmes d'exploitation pour mobiles disponibles. A l'inverse, le Symbian de Nokia va probablement être le plus exposé aux malwares. D'après le cabinet d’études Gartner, le système d'exploitation Symbian détient actuellement 44 % des parts du marché des téléphones mobiles, ce qui en fait une cible intéressante. Page 33
  • 34. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Table des figures Figure 1 : Diffusion de malwares classée par pays.............................................................................................. 6 Figure 2 : Top 10 des menaces de type malwares au 1er semestre 2010........................................................... 7 Figure 3 : Fichier autorun.inf malveillant. Les commandes essentielles du fichier sont affichées en blanc. ....... 8 Figure 4 : URLANDEXIT et le lien de redirection .............................................................................................. 10 Figure 5 : Activité des botnets classée par famille de bots................................................................................. 11 Figure 6 : Faux compte Twitter utilisé pour envoyer des commandes. N.B. Ceci correspond à un compte fictif et n’a rien à voir avec un botnet opérationnel. .................................................................................................... 12 Figure 7 : La deuxième version de l’outil TweBot permet de créer des commandes personnalisées ............... 13 Figure 8 : Les messages envoyés par Win32.Worm.Palevo.DS pour inciter les utilisateurs à en télécharger un exemplaire. ........................................................................................................................................................ 14 Figure 9 : Pour ne pas éveiller la méfiance, le ver n’envoie de messages qu’au moment où des conversations sont en cours. ................................................................................................................................................... 14 Figure 10 : Message d’avertissement affiché par le cheval de Troie Trojan.Maer.A. ....................................... 15 Figure 11 : Faux fichier AVI invitant les utilisateurs à acheter divers lecteurs vidéos ....................................... 16 Figure 12 : Le ver Koobface commence par envoyer des messages à tous les amis des utilisateurs infectés. Le message contient ce qui ressemble à une URL vers une page vidéo, mais aboutit à un fichier exécutable infecté par Koobface. ........................................................................................................................................ 17 Figure 13 : Astuce de clickjacking utilisée pour poster un lien vers un site de sondages sur le mur de la ....... 18 Figure 14 : Publicité pour le travail à domicile envoyé en masse par la victime à son insu via un “exploit” XSRF. ........................................................................................................................................................................... 18 Figure 15 : Tutoriel en quatre étapes pour l’installation d’une application de type adware à partir d’un lien sur votre mur. ......................................................................................................................................................... 19 Figure 16 : Hameçonnage Visa à partir d’un formulaire adressé en pièce jointe au courrier. .......................... 20 Figure 17 : Page d’hameçonnage HSBC créée à partir d’un kit d’hameçonnage disponible sur certains forums. .......................................................................................................................................................................... 20 Figure 18 : Répartition du spam par pays d’origine .......................................................................................... 22 Figure 19 : Site Web de montres contrefaites promues par spam.................................................................... 23 Figure 20 : Le spam proposant des comprimés représente la majeure partie du courrier non sollicité contenant des images...................................................................................................................................................... 24 Figure 21 : Fichier exécutable imbriqué déguisé en document anodin imitant un relevé bancaire................. 25 Figure 22 : Page piratée d’une société, optimisée pour profiter du trafic engendré par l’intérêt porté aux glissements de terrains au Guatemala...............................................................................................................25 Figure 23 : Les organismes les plus touchés par l’hameçonnage au cours du 1er semestre 2010................ 26 Figure 24 : Page PayPal d’hameçonnage. Afin d’être plus crédible, le pirate a créé un dossier appelé www.paypal.fr qui contient effectivement le formulaire d’hameçonnage.. ...................................................... 26 Figure 25 : Principaux pays hébergeurs de pages d’hameçonnage................................................................ 27 Figure 26 : Page d’hameçonnage de Steam en attente des données de l’utilisateur...................................... 28 Page 34
  • 35. Rapport sur les e-menaces - BitDefender 1er semestre 2010 Avertissement Les informations et les données exposées dans ce document reflètent le point de vue de BitDefender® sur les sujets abordés au moment de sa rédaction. Ce document et les informations qu'il contient ne peuvent en aucun cas être interprétés comme un engagement ou engagement ou un contrat de quelque nature que ce soit. Bien que toutes les précautions aient été prises dans l'élaboration de ce document, l'éditeur, les auteurs et les collaborateurs dénient toute responsabilité pour erreurs et/ou omissions éventuelles. Pas plus qu'ils n'assument une responsabilité quelconque pour des dommages consécutifs à l'utilisation des informations qu'il contient. De plus, les informations contenues dans ce document sont susceptibles d'être modifiées sans avertissement préalable. BitDefender, l'éditeur, les auteurs et les collaborateurs ne peuvent garantir la poursuite de la diffusion de ce type d'informations ni d'éventuels correctifs. Ce document et les données qu'il contient sont publiés à titre purement informatif. BitDefender, l'éditeur, les auteurs et les collaborateurs ne donnent aucune garantie expresse, implicite ou légale relatives aux informations publiées dans ce document. Le contenu de ce document peut ne pas être adapté à toutes les situations. Si une assistance professionnelle est nécessaire, les services d'une personne compétente doivent être sollicités. Ni BitDefender, ni les éditeurs du document, ni les auteurs ni les collaborateurs ne peuvent être tenus pour responsables des préjudices pouvant résulter d'une telle consultation. Le fait qu'une personne ou une organisation, un travail individuel ou collectif, y compris des textes imprimés, des documents électroniques, des sites web, etc., soient mentionnés dans ce document en tant que référence et/ou source d'information actuelle ou future, ne signifie pas que BitDefender, l'éditeur du document, les auteurs ou les collaborateurs avalisent les informations ou les recommandations que peuvent fournir la personne, l'organisation, les travaux individuels ou collectifs, y compris les textes imprimés, les documents électroniques, les sites web, etc. Les lecteurs doivent également savoir que BitDefender, l'éditeur du document, les auteurs ou les collaborateurs ne peuvent garantir l'exactitude d'aucune des informations données dans ce document au-delà de sa date de publication, y compris, mais non exclusivement, les adresses web et les liens Internet indiqués dans ce document qui peuvent avoir changé ou disparu entre le moment où ce travail a été écrit et publié et le moment où il est lu. Les lecteurs ont la responsabilité pleine et entière de se conformer à toutes les lois internationales applicables au copyright émanant de ce document. Les droits relevant du copyright restant applicables, aucune partie de ce document ne peut être reproduite, mise en mémoire ou introduite dans un système de sauvegarde, ni transmise sous aucune forme ni par aucun moyen (électronique physique, reprographique, d'enregistrement, ou autres procédés), ni pour quelque but que ce soit, sans l'autorisation expresse écrite de BitDefender. BitDefender peut posséder des brevets, des brevets déposés, des marques, des droits d'auteur, ou d'autres droits de propriété intellectuelle se rapportant au contenu de ce document. Sauf accord express de BitDefender inscrit dans un contrat de licence, ce document ne donne aucun droit sur ces brevets, marques, copyrights, ou autre droit de propriété intellectuelle. Tous les autres noms de produits ou d'entreprises mentionnés dans ce document le sont à titre purement informatif et sont et restent la propriété de, et peuvent être des marques de, leurs propriétaires respectifs. Copyright © 2010 BitDefender . Tous droits réservés. Page 35