La probabilité que des courriers non sollicités envoyés à des destinataires résidant au Royaume-Uni contiennent des URL malveillantes est plus de deux fois supérieure par rapport aux États-Unis. Réciproquement, les courriers non sollicités en Allemagne et en France sont bien moins susceptibles de contenir des URL malveillantes que ceux envoyés aux États-Unis et près de 5 fois moins susceptibles qu’au Royaume-Uni. En moyenne, la probabilité qu’un courrier non sollicité reçu par un utilisateur au Royaume-Uni contienne une URL malveillante est plus de 5 fois supérieure à la moyenne allemande.

Lorsque les chercheurs de Proofpoint ont analysé le pourcentage de spams par rapport au flux total de courriers électroniques pour chaque pays, ils ont découvert un schéma quasiment opposé.

Le pourcentage de spams reçus par l’Allemagne est plus important que celui associé au Royaume-Uni, à la France et aux États-Unis (ces derniers étant utilisés comme référence). Il est d’ailleurs intéressant de constater que seule la France se situe en dessous de la référence en termes de quantité de spams et d’URL malveillantes présents dans les courriers électroniques. Il convient donc de noter qu’il n’existe aucun rapport entre le nombre de spams et la quantité d’URL malveillantes présentes dans le volume total de courriers électroniques. Si les courriers non sollicités envoyés au Royaume-Uni ont tendance à contenir plus d’URL malveillantes, les utilisateurs allemands reçoivent globalement bien plus de spams : en d’autres termes, les comptes de messagerie au Royaume-Uni sont la cible d’un nombre moins important de courriers électroniques non sollicités qu’en Allemagne, en France ou aux États-Unis, mais reçoivent 5 fois plus de courriers contenant des URL malveillantes.

Les courriers électroniques malveillants peuvent contenir des chevaux de Troie bancaires ou permettre aux cybercriminels de lancer une attaque de phishing d’informations d’identification, et reflètent une toute nouvelle tendance. Les kits d’exploitation sont en effet de plus en plus souvent remplacés aujourd’hui par des techniques reposant sur l’interaction de l’utilisateur final, comme un clic sur un lien pour le téléchargement d’un fichier (et d’une pièce jointe malveillante).

Les chercheurs de Proofpoint ont récemment détecté et analysé l’une de ces menaces. Cette campagne possède plusieurs points communs avec les campagnes de phishing d’informations bancaires américaines que nous avons récemment signalées, notamment en ce qui concerne l’utilisation d’un modèle d’avis bancaire de la Royal Bank of Scotland (RBS).

Comme le montre cet exemple, les courriers électroniques sont simples et de bonne qualité (bien que les auteurs des attaques de phishing semblent avoir oublié de mettre à jour la langue de la clause de non-responsabilité). Ils utilisent le nom d’une banque très connue dans le pays des utilisateurs auxquels ils s’adressent.

Les URL utilisées dans les courriers sont affectées à plusieurs hôtes et associées à des chemins et noms de page aléatoires, afin d’augmenter les chances de contrecarrer les filtres de courrier électronique existants basés sur la réputation et la signature.

En examinant les pages vers lesquelles pointent les URL, les chercheurs de Proofpoint ont découvert un programme JavaScript lié directement à un logiciel malveillant stocké dans un fichier zip.

Le fichier compressé contient le logiciel malveillant « Upatre », un programme de téléchargement que les chercheurs de Proofpoint rencontrent fréquemment. Lorsqu’il est exécuté, ce logiciel télécharge le cheval de Troie « Dyre », que nous avons identifié dans les récentes campagnes de phishing d’informations bancaires américaines et qui devient de plus en plus courant depuis l’éradication de Gameover Zeus.

Les tentatives de phishing et l’augmentation du nombre de courriers électroniques malveillants non sollicités représentent un défi pour les entreprises du monde entier, même s’il existe, d’après les données disponibles, des différences régionales en termes de forme et de caractère de la menace. Ce sont notamment les multinationales qui vont devoir apprendre à identifier ces menaces, ainsi que leurs variantes, afin de protéger leurs utilisateurs, quels que soient les langues, les pays et les cultures.