L’ingénierie sociale et l’exploitation de vulnérabilités dans les logiciels légitimes demeurent les principales méthodes employées par les cybercriminels, même si ces derniers paraissent sans cesse affiner leurs compétences dans d’autres domaines. C’est ainsi qu’ils ne se sont pas privés de mettre à profit la mode des « URL abrégées ». Les utilisateurs sont en effet de plus en plus nombreux à se servir d’adresses Internet raccourcies à l’aide de services spécialisés, parfois sans se douter que des liens malveillants peuvent s’y dissimuler. En décembre, les grandes tendances sur la page d’accueil de Twitter comprenaient notamment un certain nombre d’entrées affichant des liens abrégés par des services répandus tels que bit.ly ou alturl.com. Après plusieurs redirections, ces liens finissaient par aboutir à des sites Web infectés. Dans un autre domaine, les auteurs de faux programmes antivirus se sont activés à perfectionner leurs tactiques, si bien que deux de leurs créations se sont hissées dans le Top 20 des programmes malveillants détectés sur Internet en décembre, au 18ème et 20ème rang. Les antivirus authentiques (conçus par des éditeurs professionnels) font désormais preuve d’une telle efficacité pour repérer leurs « imitateurs » que ces derniers sont systématiquement piégés. Dans ce cas, aucun téléchargement de ce type de programme sur l’ordinateur ne s’effectue. Pour contrer ces nouvelles contraintes, les éditeurs de faux anti-virus tentent de leurrer les internautes en les attirant vers un pseudo-site Web antivirus (faux sites pour faux anti-virus). Ces faux sites sont également détectés par les solutions de Kaspersky Lab.

Les représentants de la famille Trojan-Downloader.Java.OpenConnection demeurent extrêmement virulents. Au lieu d’exploiter les vulnérabilités d’une machine virtuelle Java, ces chevaux de Troie emploie la méthode OpenConnection d’une classe URL, une fonctionnalité standard du langage de programmation Java. Deux d’entre eux figurent au Top 20 des programmes malveillants détectés sur Internet en décembre, en 2ème et 7ème position. Témoin de leur activité, le nombre d’ordinateurs sur lesquels ces programmes ont été découverts a dépassé 40 000 en l’espace de 24 heures.

En tête de la liste des menaces Web, avec une large avance sur son second, vient le programme publicitaire AdWare.Win32.HotBar.dh. En général, celui-ci s’installe en même temps que des applications légitimes, puis importune l’utilisateur par l’affichage de publicités intrusives.

Pour la première fois, un fichier PDF malveillant exploitant Adobe XML Forms apparaît dans le Top 20 des cybermenaces. Quand l’utilisateur ouvre le fichier Exploit.Win32.Pidief.ddl, un script se lance pour télécharger et exécuter un autre programme malveillant à partir d’Internet. Exploit.Win32.Pidief.ddl se classe au 11ème rang des menaces Internet en décembre.

Le mois de décembre a également offert aux analystes antivirus l’occasion d’observer l’adaptation des activités cybercriminelles à un nouveau domaine Internet russe. Depuis novembre 2010, il est en effet possible d’enregistrer des noms de domaine comportant le suffixe .?? (sigle en cyrillique de la Fédération russe). Les cyberescrocs se sont montrés des plus actifs dans ce nouveau domaine, enregistrant des sites qui ont servi à propager des programmes malveillants et à faire des offres alléchantes à caractère frauduleux. Ce sont surtout trois types de malware qui ont été détectés : de fausses archives ressemblant à des contenus musicaux, des films et d’autres médias ; de pseudo-programmes se présentant comme des services utiles pour le réseau social Odnoklassniki ; des scripts de type chevaux de Troie redirigeant les utilisateurs vers des pages Web malveillantes