Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude d’IronPort : les liens entre des logiciels malveillants et chaîne de vente illégale de produits pharmaceutiques sur Internet

juin 2008 par Ironport

IronPort® Systems, division de Cisco, annonce qu’une étude récente a identifié un lien entre des sources de diffusion de logiciels malveillants, tels que Storm, et des entreprises de vente illégale de produits pharmaceutiques sur Internet . Celles-ci font appel à des réseaux de « zombies » pour propager du spam faisant la promotion de leurs sites Web. En convertissant ces courriels non sollicités en ventes lucratives de médicaments, ces marchands permettent aux émetteurs de spam de tirer un profit énorme de leurs attaques. Dans une mise à jour de son étude 2008 consacrée aux tendances de la sécurité sur Internet, IronPort analyse l’impact de ces zombies et dévoile les véritables moteurs du spam pharmaceutique ainsi que les dernières innovations en matière de malware.

« Notre étude précédente faisait apparaître une chaîne logistique extrêmement complexe derrière les livraisons de produits pharmaceutiques illicites. Elle mettait notamment en lumière les commandes passées suite à la diffusion de spams sur des sites canadiens. Toutefois, le rapport entre ceux qui contrôlent les réseaux de zombies et cette chaîne logistique internationale demeurait jusqu’à présent opaque », observe Sébastien Commérot, Responsable Marketing Europe du Sud, Moyen-Orient et Afrique chez IronPort Systems. « Notre enquête révèle sans ambiguïté que Storm et d’autres génèrent des commandes donnant lieu à commission. Celles-ci sont ensuite honorées par la chaîne logistique, dégageant ainsi plus de 150 millions de chiffre d’affaires par an. »

L’étude d’IronPort montre que plus de 80% du spam envoyé par Storm fait la publicité de marques pharmaceutiques. Ce spam est diffusé par des millions d’ordinateurs de particuliers, infectés grâce à une multitude de techniques de « social engineering » (abus de confiance) et à la vulnérabilité des navigateurs Web. Une enquête poussée a fait ressortir que les modèles de spam, les URL publicisées par les messages spam, le design des sites Web, le traitement des paiements par cartes de crédit, la livraison des produits et le support client étaient réalisés par une organisation criminelle russe opérant en même temps le réseau Storm.

Cette organisation criminelle recrute des partenaires spammeurs qui font la publicité des sites pharmaceutiques illicites et perçoivent une commission de 40% sur les ventes. L’organisation se charge d’honorer les commandes de produits pharmaceutiques, de traiter les transactions par carte de crédit et d’assurer les services clients. Or, les tests pharmacologiques commandités par IronPort indiquent que deux tiers des médicaments livrés contiennent bien le principe actif mais dans un dosage incorrect, tandis que les autres ne sont que des placebos. Par conséquent, les consommateurs prennent un risque non négligeable en ingérant des substances non contrôlées, achetées à l’étranger.

Les détails concernant le réseau Storm et ses liens avec la chaîne logistique pharmaceutique illégale figurent dans le rapport d’IronPort intitulé « 2008 Internet Malware Trends : Storm and the Future of Social Engineering ». Cette étude identifie également un certain nombre de techniques d’infection des PC hôtes au moyen de codes malveillants qui contournent les logiciels de sécurité. Ces méthodes sont notamment les suivantes :

· Spam par webmail. Des techniques automatiques ou manuelles de contournement des tests Captcha (test permettant de différencier un utilisateur humain d’un ordinateur qui générerait des réponses de manière automatisée) sont utilisées pour créer une multitude de comptes webmail gratuits. Un test Captcha courant consiste à demander à l’internaute de taper une série de lettres et de chiffres déformés à l’écran pour s’assurer que la réponse ne provient pas d’une machine. Une fois les comptes créés, les spammeurs envoient leurs messages à partir de ceux-ci, de sorte que le destinataire pense qu’ils proviennent des serveurs de courrier d’un FAI légitime. Ces attaques ont représenté plus de 5% de l’ensemble du spam au premier trimestre 2008, contre moins de 1% au trimestre précédent.

· Exploitation de Google. Une nouvelle génération de codes malicieux exploitent la fonction de recherche « J’ai de la chance » de Google pour aiguiller le trafic vers des sites infectés. On estime que 1,3% des recherches lancées sur Google renvoient des adresses de sites de malware parmi leurs résultats. Compte tenu du formidable volume de recherches effectuées à chaque minute, cela fournit un potentiel considérable pour les distributeurs de codes malveillants.

· Injections iFrame. Il s’agit d’une redirection qui se produit lorsqu’un utilisateur visite un site Web hébergeant du code malveillant, par exemple en JavaScript, que ce soit un site « légitime » réputé ou un site créé à cette fin et venant en tête des résultats des moteurs de recherche. Le code JavaScript force le navigateur à télécharger sur un autre serveur Web un fichier contenant un cheval de Troie, le plus souvent par l’intermédiaire d’un cadre iFrame invisible imbriqué. Le cheval de Troie s’installe alors sur l’ordinateur de l’internaute à son insu, puis se livre à différentes activités, telles que le vol de mots de passe ou de données système.

Les réseaux de zombies examinés dans l’étude se distinguent par le fait qu’ils lient leurs campagnes de spam à des événements du moment ou à des sites suscitant l’intérêt. Ils combinent l’e-mail et le Web pour se propager. En outre, ces attaques décentralisées et coordonnées présentent de multiples formes sur Internet (spam infestant les messageries ou les blogs, phishing, messagerie instantanée, déni de service distribué ?).

Outre évaluer les dommages causés par le social engineering, l’étude détaille les tendances qui présagent l’avenir du spam et des virus ainsi que les mesures que doivent prendre les entreprises pour assurer la protection de leurs réseaux. Le spam n’est plus simplement un phénomène irritant imputable à des individus. Il s’est aujourd’hui mué en un moyen de propagation de codes malveillants dont l’organisation, la complexité technique et le financement n’ont rien à envier aux campagnes commerciales des éditeurs de logiciels. Pour gagner en efficacité et en rentabilité, les créateurs de malware commencent même à proposer leurs produits sous forme de solutions complètes, englobant support technique, outils d’analyse et d’administration et mises à jour. Les derniers en date à avoir été identifiés sont Bobax, Kraken/Kracken et Srizbi.

Pour prévenir la prolifération de codes malicieux tels que Storm et ses successeurs, l’étude d’IronPort préconise que chaque entreprise emploie des filtres anti-spam, vérifie sa réputation sur le Web, surveille l’activité de ses ports de communication et tienne à jour l’ensemble de ses produits anti-virus et anti-malware.




Voir les articles précédents

    

Voir les articles suivants