Particularités du trimestre
Trojans envoyés par des sociétés de courrier express
Au début du 2e trimestre, nous avons observé une vague de campagnes malveillantes dont les messages imitaient les notifications de sociétés de livraison. Les Trojan-Downloaders étaient diffusés dans des archives ZIP et une fois exécutés, ils téléchargeaient d’autres malwares, à savoir Backdoor.Win32.Androm et Trojan.Win32.Kovter. Afin de convaincre le destinataire d’ouvrir les pièces jointes, les individus malintentionnés utilisaient des méthodes éprouvées et présentaient le contenu malveillant sous les traits d’informations importantes relatives à une livraison. Ces campagnes malveillantes visaient les habitants de différents pays et les messages étaient rédigés en différentes langues.
Les individus malintentionnés utilisaient également ces fausses notifications de sociétés de livraison pour diffuser des liens qui allaient permettre d’infecter l’ordinateur de la victime et de voler des informations personnelles. Le lien malveillant était associé au numéro de suivi d’un envoi imaginaire et ressemblait à
http://domaine/nom de la société de courrier express __com__WebTracking__tracknum__4MH38630431475701
Le domaine ainsi que la succession de chiffres et de lettres à la fin du lien changeaient au sein d’une même campagne.
La victime qui cliquait sur le lien lançait le téléchargement d’un trojan de la famille Js.Downloader qui téléchargeait à son tour le trojan bancaire Emotet. La détection de ce malware remonte à juin 2014 et il intervient toujours dans le vol d’informations financières personnelles et de noms d’utilisateur et de mots de passe d’autres services, ainsi que dans la diffusion de spam, etc.
WannaCry dans le spam
En mai 2017, le ransomware Wannacry infecte des centaines de milliers d’ordinateurs à travers le monde. À la différence d’autres ransomwares de la même catégorie, WannaCry est en mesure d’infecter l’ordinateur de sa victime sans que celle-ci n’ait besoin de faire quoi que ce soit. Le malware attaque sa cible à l’aide d’une faille d’exploitation pour Windows puis, il infecte tous les ordinateurs au sein du réseau local. À l’instar d’autres ransomwares, WannaCry chiffre les fichiers sur l’ordinateur de la victime puis exige le versement d’une rançon pour les déchiffrer. Les fichiers chiffrés portent l’extension .wcry et deviennent illisibles.
Face au barrage médiatique sur le nouveau ransomware, les spammeurs ont adopté une réaction classique : ils l’ont exploité à leur propre fin. Ainsi, le trafic indésirable contenait de nombreuses offres de services de lutte contre le nouveau malware, des conseils pour éviter l’infection ainsi que des invitations à des séminaires de formation et des cours pour les utilisateurs, etc. Les individus malintentionnés qui gagnent de l’argent grâce aux diffusion d’escroquerie ont également saisi la balle au bond.
Ils ont envoyé de fausses notifications au nom d’éditeurs connus de logiciel. Ces notifications signalaient au destinataire que son ordinateur avait été infecté par un ransomware et qu’il fallait installer une mise à jour. Bien entendu, le lien vers la mise à jour menait vers une page de phishing. Dans les exemples que nous avons détectés, les individus malintentionnés n’avaient pas vraiment accordé l’attention requise à la rédaction de la lettre. Ils espéraient que la victime, prise de panique, ignore les erreurs grossières (adresse de l’expéditeur, adresse des liens, etc.).
Malware dans une archive protégée par mot de passe et entreprises
Au cours du 2e trimestre 2017, nous avons remarqué de nouvelles diffusions de messages qui contenaient des pièces jointes malveillantes dans une archive protégée par un mot de passe. La cible de ces messages était des entreprises.
Pour rappel, la diffusion d’archives protégées par un mot de passe poursuit deux objectifs. Le premier est l’ingénierie sociale (social engineering) : dans le message, les individus malintentionnés insistent sur le fait que les données confidentielles (comme les données comptables) bénéficient d’une protection supplémentaire par mot de passe. Deuxièmement, tant que les fichiers ne sont décompactés, l’Antivirus ne peut pas les analyser complètement.
Les archives contenaient un malware de la famille Pony/FareIT. Ce malware a été développé pour voler les noms d’utilisateur et les mots de passe d’accès à des services Internet enregistrés dans les navigateurs, les adresses Internet où ces informations ont été saisies, les données d’authentification pour l’accès aux serveurs FTP, aux gestionnaires de fichiers, aux clients de messagerie et aux applications de synchronisation ainsi que pour voler des porte-monnaie de cryptodevises.
L’archive contenait le malwareTrojan-Downloader.MSWord.Agent.bkt qui est un fichier Microsoft Word protégé par un mot de passe. Le document contient un script malveillant qui télécharge sur l’ordinateur de la victime une autre application malveillante dont le rôle consiste à voler des données bancaires.
Signalons que la tendance qui consiste à dissimuler les campagnes malveillantes sous les traits d’une correspondance commerciale s’est renforcée. Désormais, les spammeurs ne se contentent plus de copier le style des messages commerciaux. Ils utilisent souvent les données de sociétés réelles, recopient les signatures et les logos et même le contenu du message peut être lié aux activités de l’entreprise. À en juger par les domaines repris dans le champ To et le contenu du message, ces messages visent également le secteur B2B.
L’archive contenait un malware de la famille Loki Bot développé pour le vol de mots de passe de comptes FTP ou de clients de messagerie enregistrés dans les navigateurs ainsi que les portefeuilles de cryptodevises.
L’archive contenait le malware Exploit.Win32.BypassUAC.bwc développé pour voler les mots de passe des ressources réseau et des clients de messagerie. Pour augmenter ses privilèges, le malware utilise une faille d’exploitation qui permet de déjouer la protection du composant Microsoft Windows UAC. Il utilise les outils légitimes de récupération des mots de passe.
L’archive contenait un fichier XLS contenant une macro qui permettait de télécharger HawkEye Keylogger sur l’ordinateur de la victime. Ce malware programmé en .NET enregistre les frappes au clavier et récolte des informations sur le système dans lequel il fonctionne : adresses IP interne et externe, version du système d’exploitation ainsi que le nom du logiciel de protection et du pare-feu
L’archive contenait deux fichiers malveillants : un fichier EXE présenté comme un PDF, (détecté en tant que Trojan.Win32.VBKrypt.xdps) et un document MS Word avec un code d’exploitation qui utilise la vulnérabilité CVE-2017-0199. Ces deux malwares téléchargent ensuite sur l’ordinateur de la victime une modification du trojan d’espionnage Zeus
De telles attaques ciblées peuvent poursuivre différents objectifs. Dans le cas des ransomwares, il est évident que la valeur de la propriété intellectuelle d’une société peut être bien supérieure à celle des données présentes sur l’ordinateur d’un particulier et la victime potentielle acceptera probablement de verser la rançon requise en bitcoins. S’agissant des spywares (logiciels espions) spécialisés dans le vol d’informations financières, les individus malintentionnés peuvent faire sauter la banque après avoir obtenu un accès au compte de la société.
Les spywares dans le secteur B2B peuvent intervenir dans des escroqueries financières plus complexes, dont des attaques de type « homme du milieu » lors de transactions financières. Vous trouverez ici une description détaillée d’une de ces escroqueries identifiée par nos collègues.
Il convient de signaler que malgré la grande diversité de « charges utiles » téléchargées sur un ordinateur, la fonction principale demeure toujours le vol d’informations d’authentification. Autrement dit, la majorité des attaques menées contre les entreprises poursuit des objectifs financiers.
Il ne faut pas non plus négliger le danger que représente la prise du contrôle de l’équipement industriel d’une entreprise suite à la pénétration de l’individu malintentionné dans le réseau de la société.
Globalement, le volume de spam malveillant dans le courrier a légèrement augmenté par rapport au trimestre précédent. Le nombre de déclenchement de l’antivirus protégeant les emails au 2e trimestre a augmenté de 17 % par rapport au 1er trimestre.
Nombre de déclenchements du composant messagerie de l’antivirus chez les clients de Kaspersky Lab, T1 et T2 2017
Necurs, toujours opérationnel
Le réseau de zombies Necurs est toujours opérationnel, mais le volume de diffusions émanant de celui-ci a sensiblement reculé par rapport à 2016. Ce réseau de zombies se caractérise par une alternance entre périodes d’accalmie et de pics d’activité où les clients de Kaspersky Lab peuvent recevoir jusqu’à 2 millions de messages par jour. Outre les campagnes de messages malveillants, Necurs propage activement du spam de la catégorie « pump-and-dump » et du spam pour des sites de rencontres.
Le contenu du spam diffusé par Necurs est très maigre et les messages sont accompagnés de fichiers DOC, PDF ou autres. Parfois, au lieu d’une pièce jointe, le message contient des liens vers des services de stockage dans le Cloud comme Dropbox d’où les fichiers malveillants sont téléchargés.
Exploitation de services légitimes pour diffuser du spam
Au trimestre dernier, nous évoquions le fait que les spammeurs soucieux de tromper les filtres envoyaient les messages via des services légitimes. Il s’agit par exemple des champs « inviter des amis » dans différents réseaux sociaux, des commentaires au sujet desquels les utilisateurs sont prévenus via des notifications et, dans l’ensemble, de n’importe quel formulaire sur les sites les plus divers qui permet d’envoyer un message à une liste d’utilisateurs. En plus d’être plus difficile à détecter en raison de son origine légitime, ce type de spam est utile car la ressource exploitée pour la diffusion permet de cibler plus facilement les destinataires. Ainsi, les spammeurs exploitent les sites de recherche d’emploi pour diffuser des propositions d’argent facile ou des escroqueries financières :
Escroquerie au nom de domaine
Au trimestre dernier, nous avions détecté plusieurs campagnes dans le cadre desquelles l’escroquerie portait sur les domaines des organisations des destinataires.
L’une d’entre elles provenait d’une grande société spécialisée dans l’enregistrement de noms de domaine. Le message envoyé aux administrateurs des domaines enregistrés indiquait qu’il fallait activer le domaine pour confirmer le statut d’administrateur et la possibilité d’administrer le domaine. Ces mesures étaient prises suite à des modifications prétendument introduites dans le règlement de l’ICANN (entreprise chargée de l’administration des noms de domaines et des adresses IP).
L’administrateur disposait d’un délai limité pour créer un fichier PHP au contenu défini dans le répertoire racine du site. Le message insistait sur le fait qu’en cas de non-respect des conditions, la procédure de confirmation ne serait pas finalisée et le domaine ne serait plus en ligne.
Or, il se fait que l’exécution de ce script sur le site de la victime pouvait donner aux individus malintentionnés le contrôle du site et la possibilité d’exécuter n’importe quel code. Qui plus est, le script permet de récolter toutes les données saisies par l’utilisateur sur le site où il a été installé et lancé. Dans la mesure où un volume important de faux messages de ce genre avait été envoyé à des banques, on peut imaginer que les escrocs souhaitaient avoir accès aux données saisies sur le site de la banque, dont les noms d’utilisateur et les mots de passe d’accès au service de banque électronique.
Et nous avons détecté également un autre type d’escroquerie impliquant les domaines et qui visait les administrateurs. L’administrateur du site de l’entreprise recevait un message qui lui conseillait d’enregistrer le domaine dans des moteurs de recherche afin que les clients potentiels puissent trouver plus facilement le site de la société. Les adresses d’expéditeur de ces messages étaient des adresses générées sur des sites d’hébergement gratuit.
Ce service était payant. Afin d’obtenir la liste des tarifs et les descriptions, le destinataire devait cliquer sur un lien repris dans le message. Ce lien menait à une page « hébergée » sur un site légitime. Après avoir choisi le tarif qui lui convenait, le destinataire du message devait remplir et envoyer un formulaire de reçu dans lequel les individus malintentionnés sollicitaient des informations personnelles détaillées, dont les données de la carte de crédit.
Statistiques
Part du spam dans le trafic de messagerie
Part du spam dans le trafic de messagerie mondial, T1 et T2 2017
Au 2e trimestre 2017, la part la plus importante de spam enregistrée dans le trafic de messagerie a été mesurée en avril avec 57,99 %. La part moyenne de spam sur le trimestre a atteint 56,97 %, soit près de 1,07 point de pourcentage de plus qu’au trimestre précédent.
Pays, source du spam
Pays, source de spam, T2 2017
À l’issue du 2e trimestre 2017, le trio de tête des pays source du spam a connu les modifications suivantes. Le Viet Nam occupe la 1re position en terme de spam sortant et atteint 12,37 %. Viennent ensuite les États-Unis, leader du trimestre précédent. La part de spam diffusé depuis ce pays a reculé de 8,65 points de pourcentage pour atteindre 10,1 %. La Chine referme le trio de tête. L’indicateur de ce pays a augmenté de 1,19 point de pourcentage au 2e trimestre et atteint 8,96 %.
L’Inde occupe la 4e position (progression de 3,61 points de pourcentage) avec un indicateur de 8,77 %. L’Allemagne est en 5e position (recul de 0,31 point de pourcentage) avec un indicateur de 5,06 %.
La Russie est en 6e position. La part de spam envoyé depuis ce pays atteignait 4,99 % à l’issue du trimestre, soit un recul de 0,06 point de pourcentage seulement par rapport à l’exercice précédent.
Le Brésil (4,47 %), la France (4,35 %) et l’Iran (2,49 %) se retrouvent également dans le Top 10, avec les Pays-Bas (1,96 %) en dernière position.
Taille des messages non sollicités
Taille des messages non sollicités, T1 et T2 2017
À l’issue du 2e trimestre 2017, la part des messages de très petite taille (2 Ko maximum) dans le spam a enregistré une légère modification et atteint 37,41 %, soit une progression de 1,9 points de pourcentage par rapport au trimestre précédent. La part des messages dont la taille est comprise entre 2 et 5 Ko se maintient à 4,54 %. La part des messages dont la taille est comprise entre 5 et 10 Ko a reculé de 1,36 point de pourcentage pour atteindre 5,94 %.
La part des messages dont la taille est comprise entre 10 et 20 Ko a atteint 18,31 %, tandis que celle des messages d’une taille comprise entre 20 et 50 Ko (27,16%) est de 27,16 % et celle des messages entre 50 et 100 Ko est de 4,16 %. Un peu plus de 2 % des messages affichait une taille de 100 Ko ou plus.
Pièces jointes malveillantes : familles de malwares
Top 10 des familles malveillantes
Top 10 des familles de malwares diffusés au T2 2017
À l’issue du 2e trimestre 2017, la famille de malwares la plus répandue par courrier a été Trojan-Downloader.JS.SLoad (8,73 %). Elle est suivie par Trojan-Downloader.MSWord.Agent (3,31 %). Quant à la 3e position, elle revient une fois de plus à la famille Trojan-PSW.Win32.Fareit (3,29 %).
La famille Trojan-Downloader.JS.Agent occupe la 4e position (3,05 %). Worm.Win32.WBVB (2,59 %) referme le Top 5.
Deux nouveautés font leur entrée dans le Top 10. Il s’agit des familles Backdoor.Java.QRat (1,91 %) et Trojan.PDF.Phish (1,66 %) qui occupent respectivement la 7e et la 9e position.
Backdoor.Java.QRat est une backdoor multiplateforme dotée de nombreuses fonctions. Elle est programmée en Java et se vend sur le Dark Net selon le principe du « Malware en tant que service » (MaaS). En règle générale, elle se propage par email sous la forme d’une pièce jointe JAR.
Trojan.PDF.Phish est un document au format PDF qui contient un lien menant à un site de phishing. L’utilisateur est invité à saisir son nom d’utilisateur et son mot de passe pour un service quelconque.
Pays, cibles des diffusions de malwares
Répartition des déclenchements de l’antivirus protégeant les e-mails par pays, T2 2017
Au 2e trimestre 2017, le volume le plus élevé de déclenchements de l’antivirus protégeant les e-mails a été enregistré en Allemagne (12,71 %). Elle est suivie par la Chine (12,09 %), leader du trimestre précédent. La Grande-Bretagne referme une fois de plus le trio de tête avec 9,11 %.
Le Japon occupe la 4e position (5,87 %). La Russie occupe la 5e position avec 5,67%. Viennent ensuite dans l’ordre le Brésil (4,99 %), l’Italie (3,96 %), le Viet Nam (3,06 %) et la France (2,81 %).
Les États-Unis referment le Top 10 avec un indicateur de 2,31 %.
Phishing
Au 2e trimestre 2017, le système Anti-Phishing a empêché 46 557 343 tentatives de redirection vers un site de phishing. Sur l’ensemble du trimestre, les auteurs d’attaques de phishing ont attaqué 8,26% des utilisateurs des produits de Kaspersky Lab à travers le monde.
Répartition géographique des attaques
Au 2e trimestre 2017, le pays qui a comptabilisé le plus grand nombre d’utilisateurs victimes d’attaques de phishing a été le Brésil (18,09 %), en recul de 1,07 point de pourcentage.
Géographie des attaques de phishing*, 2e trimestre 2017
*Pourcentage d’utilisateurs sur les ordinateurs desquels l’Anti-Phishing s’est déclenché, par rapport à l’ensemble des utilisateurs de produits de Kaspersky Lab dans le pays.
En 2e position, avec un recul de 7,24 points de pourcentage par rapport au trimestre précédent, nous retrouvons la Chine (12,85 %). L’Australie progresse quant à elle de 1,96 point de pourcentage pour atteindre la 3e position (12,69 %). Le pourcentage des utilisateurs attaqués en Nouvelle-Zélande a progressé de 0,12 point de pourcentage pour atteindre 12,06 % et la part de l’Azerbaïdjan est de 11,48 %. La République d’Afrique du Sud (9,38 %), l’Argentine (9,35 %) et la Grande-Bretagne (9,29 %) referment le Top 10.
La Russie, avec 8,74 %, a été éliminée du Top 10 des utilisateurs attaqués au sein du pays. Elle occupe désormais la 18e position.
| Brésil | 18,09% |
| Chine | 12,85% |
| Australie | 12,69% |
| Nouvelle-Zélande | 12,06% |
| Azerbaïdjan | 11,48% |
| Canada | 11,28% |
| Qatar | 10,68% |
| Venezuela | 10,56% |
| République d’Afrique du Sud | 9,38% |
| Argentine | 9,35% |
| Royaume-Uni | 9,29% |
Top 10 des pays selon la part d’utilisateurs attaqués
Organisations victimes du phishing
Classement des catégories des organisations victimes d’attaques de phishing
Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements du module heuristique du système Anti-Phishing sur les ordinateurs des utilisateurs. Ce module détecte toutes les pages qui possèdent du contenu de phishing et auxquelles l’utilisateur a tenté d’accéder via des liens dans des messages ou sur Internet, si ces liens ne figurent pas encore dans les bases de Kaspersky Lab. Et peu importe la manière dont la victime arrive sur la page : clic sur un lien dans un message de phishing, dans un message de réseau social ou suite à l’action d’un malware. Après le déclenchement du composant, l’utilisateur voit dans son navigateur un message d’avertissement sur la menace éventuelle.
Au 2e trimestre 2017, plus de la moitié des déclenchements du module heuristique de l’Anti-Phishing a été provoquée par des pages qui citaient des marques issues de catégories financières telles que « Banques » (23,49 %, recul de 2,33 points de pourcentage), « Systèmes de paiement » (18,40 %, progression de 4,8 points de pourcentage) et « Magasins en ligne » (9,58 %, recul de 1,31 point de pourcentage).
Répartition des organisations victimes d’attaque de phishing, par catégorie, deuxième trimestre 2017
Sujets d’actualité du trimestre
Billets d’avion
Au 2e trimestre, Facebook a été inondé de publications partagées par des internautes heureux au sujet d’un tirage au sort de deux billets d’avion dans le cadre d’une promotion, organisé par quelques-unes des plus grandes compagnies aériennes au monde. Naturellement, ce tirage au sort était une pure invention : les individus malintentionnés avaient créé une multitude de sites sur lesquels les utilisateurs recevaient des félicitations pour avoir remporté des billets ainsi que des instructions précises à suivre afin d’obtenir le prix. Une des conditions imposée au gagnant était de partager les informations relatives au tirage au sort sur son mur Facebook. Une fois qu’il avait suivi toutes les instructions, l’utilisateur était redirigé vers l’une des ressources promues par les individus malintentionnés. Le contenu de ces pages varie : depuis des publicités inoffensives jusqu’aux malwares.
Faux blocage
La grande majorité des navigateurs les plus utilisés sont équipés d’une protection intégrée contre les menaces sur Internet. Quand l’utilisateur accède à une page malveillante ou de phishing, il est alerté du danger potentiel et il lui est conseillé de s’abstenir de visiter ce site.
Les escrocs ont déjà appris à détourner cette protection à leur fin et endorment la vigilance des victimes à l’aide d’avertissements sur un danger quelconque en vue de leur faire peur et de détourner leur attention. Par exemple, ils peuvent imiter la page de blocage du navigateur Chrome. L’utilisateur qui a reçu ne serait-ce qu’une fois ce genre d’avertissement dans le navigateur ne va pas se méfier de la page et va suivre les instructions des criminels.
Ce qui est particulièrement dangereux au niveau de ces pages, c’est le fait que l’analyse minutieuse de la ligne d’adresse n’est d’aucune aide car le navigateur affiche en général ce genre d’avertissement sur les ressources Internet douteuses.
Toutefois, il arrive qu’ils s’affichent lors de tentatives d’accès à un domaine appartenant à des sociétés qui remplissent le rôle d’hébergeur. C’est précisément pour cela que ces avertissements suscitent plus de confiance chez les victimes :
En général, quand la victime contacte un des numéros de téléphone mentionnés, les escrocs se font passer pour des opérateurs d’un service d’assistance et sollicitent de l’argent aux victimes pour les services prétendument requis.
Codage Punycode
L’analyse du contenu de la ligne d’adresse peut également être inutile si les auteurs d’attaques de phishing utilisent des caractères qui ne proviennent pas de l’alphabet latin, mais qui ressemblent à des lettres de cet alphabet, pour créer des noms de domaines qui reproduisent fidèlement les noms de ressources Internet connues. Le fait est que les navigateurs utilisent le codage Punycode pour afficher les caractères Punycode dans l’URL, mais si tous les caractères du nom de domaine appartiennent à l’alphabet d’une langue, le navigateur les affiche non pas au format Punycode, mais bien dans la langue indiquée.
La capture d’écran de la page de phishing ci-dessous est un excellent exemple de l’application de cette astuce.
Dans certains cas, un examen plus attentif de l’adresse permet de remarquer des différences, comme ici avec le point sous la lettre « e ».
Si vous prêtez attention à la bannière de blocage du site, vous verrez que l’adresse Internet est affichée au format Punycode et qu’elle se distingue de l’adresse visible dans la barre d’adresses. Il ne fait aucun doute que cette adresse n’est pas le domaine d’une entreprise connue.
Du point de vue technique, ces deux adresses sont totalement différentes. D’autant plus que les auteurs d’attaques de phishing avaient utilisé auparavant les codages les plus divers dans le nom des pages. Mais pour l’utilisateur lambda, il peut être difficile d’identifier ce type de phishing.
Attaque contre les utilisateurs d’Uber
Un des événements qui a défrayé la chronique au trimestre précédent est l’attaque menée contre les clients d’Uber. Des pages de phishing ont été diffusées à l’aide d’une campagne de spam. Ces messages promettaient de généreuses remises aux destinataires à condition de suivre une procédure d' »enregistrement » dans le cadre de laquelle il fallait fournir des données personnelles et les données de la carte bancaire. Une fois que l’utilisateur avait rempli le formulaire, il était redirigé vers le site officiel de l’entreprise.
Dans la mesure où Uber organise assez souvent de telles campagnes de promotion, il se peut que les utilisateurs ne doutent pas de l’authenticité des messages reçus.
ТОР 3 des organisations ciblées par des auteurs d’attaques de phishing
Le plus souvent, ce sont les marques les plus célèbres sur Internet qui sont victimes des attaques les plus importantes organisées par les individus malintentionnés. Ainsi, plus de la moitié des déclenchements du système Anti-Phishing est provoquée par des pages de phishing qui évoquent un total de 15 entreprises.
| Organisation | % de déclenchements |
| 8,33 | |
| Microsoft Corporation | 8,22 |
| Yahoo! | 8,01 |
Le Top 3 reste inchangé pour le 3e trimestre consécutif. Au trimestre précédent, la société Yahoo! avait repris la tête du classement des marques citées par les auteurs d’attaques de phishing mais elle avait terminé le 2e trimestre en 3e position et cédé la tête du classement à Facebook (8,33 %). Microsoft (8,22 %) est en 2e position.
Parmi les pièges utilisés par les auteurs d’attaques de phishing, citons l’hébergement de fausses pages d’entreprises connues sur des domaines qui appartiennent à d’autre organisations célèbres. Dans l’exemple ci-dessous, certains utilisateurs ne vont pas se rendre compte que le lien mène vers un service d’hébergement gratuit et qui plus est, la mention du nom Google renforce la confiance.
Le formulaire de saisie de données se trouve en général sur un autre domaine auquel la victime accède après avoir cliqué sur un bouton.
Conclusion
Au 2e trimestre 2017, la part moyenne du spam dans le flux de messagerie international n’a que légèrement progressé (1,07 point de pourcentage) par rapport à l’indicateur du 1er trimestre et a atteint 56,97 %. L’épidémie WannaCry constitue un des événements les plus marquants du trimestre et il a attiré l’attention des spammeurs : de nombreuses campagnes proposaient des offres d’aide pour se débarrasser du malware. D’autres annonçaient des séminaires et des formations pour les utilisateurs.
S’agissant des malwares, la famille de scripts de téléchargement JS.SLoad (8,73 %) est devenue à l’issue du 2e trimestre la famille la plus propagée par courrier. La 2e position (3,31 %) revient à un autre downloader : MSWord.Agent. La famille de trojans Fareit (3,29 %) referme quant à elle ce trio de tête.
Le système Anti-Phishing a déjoué plus de 46,5 millions de tentatives d’accès à des pages de phishing. Sur l’ensemble du trimestre, les auteurs d’attaques de phishing ont attaqué 8,26% des utilisateurs des produits de Kaspersky Lab à travers le monde. Les utilisateurs font plus attention et sont mieux informés sur les dangers d’Internet, ce qui se traduit par une meilleure sensibilisation aux questions de sécurité. En réponse, les auteurs d’attaques de phishing développent de nouveaux pièges. Par exemple, ils hébergent les pages de phishing sur des domaines qui appartiennent à des entreprises de renom.
Des mêmes auteurs
Dans la même catégorie
Courrier indésirable et phishing au 2è trimestre 2017