Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude d’IronPort : les liens entre des logiciels malveillants et chaîne de vente illégale de produits pharmaceutiques sur Internet

juin 2008 par Ironport

IronPort® Systems, division de Cisco, annonce qu’une étude récente a identifié un lien entre des sources de diffusion de logiciels malveillants, tels que Storm, et des entreprises de vente illégale de produits pharmaceutiques sur Internet . Celles-ci font appel à des réseaux de « zombies » pour propager du spam faisant la promotion de leurs sites Web. En convertissant ces courriels non sollicités en ventes lucratives de médicaments, ces marchands permettent aux émetteurs
de spam de tirer un profit énorme de leurs attaques. Dans une mise à jour de son étude 2008 consacrée aux tendances de la sécurité sur Internet, IronPort analyse l’impact de ces zombies et dévoile les véritables moteurs du spam pharmaceutique ainsi que les dernières innovations en matière de malware.

« Notre étude précédente faisait apparaître une chaîne logistique
extrêmement complexe derrière les livraisons de produits pharmaceutiques
illicites. Elle mettait notamment en lumière les commandes passées suite à
la diffusion de spams sur des sites canadiens. Toutefois, le rapport entre
ceux qui contrôlent les réseaux de zombies et cette chaîne logistique
internationale demeurait jusqu’à présent opaque », observe Sébastien
Commérot, Responsable Marketing Europe du Sud, Moyen-Orient et Afrique chez
IronPort Systems. « Notre enquête révèle sans ambiguïté que Storm et
d’autres génèrent des commandes donnant lieu à commission. Celles-ci sont
ensuite honorées par la chaîne logistique, dégageant ainsi plus de 150
millions de chiffre d’affaires par an. »

L’étude d’IronPort montre que plus de 80% du spam envoyé par Storm fait la
publicité de marques pharmaceutiques. Ce spam est diffusé par des millions
d’ordinateurs de particuliers, infectés grâce à une multitude de techniques
de « social engineering » (abus de confiance) et à la vulnérabilité des
navigateurs Web. Une enquête poussée a fait ressortir que les modèles de
spam, les URL publicisées par les messages spam, le design des sites Web,
le traitement des paiements par cartes de crédit, la livraison des produits
et le support client étaient réalisés par une organisation criminelle russe
opérant en même temps le réseau Storm.

Cette organisation criminelle recrute des partenaires spammeurs qui font la
publicité des sites pharmaceutiques illicites et perçoivent une commission
de 40% sur les ventes. L’organisation se charge d’honorer les commandes de
produits pharmaceutiques, de traiter les transactions par carte de crédit
et d’assurer les services clients. Or, les tests pharmacologiques
commandités par IronPort indiquent que deux tiers des médicaments livrés
contiennent bien le principe actif mais dans un dosage incorrect, tandis
que les autres ne sont que des placebos. Par conséquent, les consommateurs
prennent un risque non négligeable en ingérant des substances non
contrôlées, achetées à l’étranger.

Les détails concernant le réseau Storm et ses liens avec la chaîne
logistique pharmaceutique illégale figurent dans le rapport d’IronPort
intitulé « 2008 Internet Malware Trends : Storm and the Future of Social
Engineering ». Cette étude identifie également un certain nombre de
techniques d’infection des PC hôtes au moyen de codes malveillants qui
contournent les logiciels de sécurité. Ces méthodes sont notamment les
suivantes :

· Spam par webmail. Des techniques automatiques ou manuelles de
contournement des tests Captcha (test permettant de différencier un
utilisateur humain d’un ordinateur qui générerait des réponses de manière
automatisée) sont utilisées pour créer une multitude de comptes webmail
gratuits. Un test Captcha courant consiste à demander à l’internaute de
taper une série de lettres et de chiffres déformés à l’écran pour s’assurer
que la réponse ne provient pas d’une machine. Une fois les comptes créés,
les spammeurs envoient leurs messages à partir de ceux-ci, de sorte que le
destinataire pense qu’ils proviennent des serveurs de courrier d’un FAI
légitime. Ces attaques ont représenté plus de 5% de l’ensemble du spam au
premier trimestre 2008, contre moins de 1% au trimestre précédent.

· Exploitation de Google. Une nouvelle génération de codes malicieux
exploitent la fonction de recherche « J’ai de la chance » de Google pour
aiguiller le trafic vers des sites infectés. On estime que 1,3% des
recherches lancées sur Google renvoient des adresses de sites de malware
parmi leurs résultats. Compte tenu du formidable volume de recherches
effectuées à chaque minute, cela fournit un potentiel considérable pour les
distributeurs de codes malveillants.

· Injections iFrame. Il s’agit d’une redirection qui se produit
lorsqu’un utilisateur visite un site Web hébergeant du code malveillant,
par exemple en JavaScript, que ce soit un site « légitime » réputé ou un
site créé à cette fin et venant en tête des résultats des moteurs de
recherche. Le code JavaScript force le navigateur à télécharger sur un
autre serveur Web un fichier contenant un cheval de Troie, le plus souvent
par l’intermédiaire d’un cadre iFrame invisible imbriqué. Le cheval de
Troie s’installe alors sur l’ordinateur de l’internaute à son insu, puis se
livre à différentes activités, telles que le vol de mots de passe ou de
données système.

Les réseaux de zombies examinés dans l’étude se distinguent par le fait
qu’ils lient leurs campagnes de spam à des événements du moment ou à des
sites suscitant l’intérêt. Ils combinent l’e-mail et le Web pour se
propager. En outre, ces attaques décentralisées et coordonnées présentent
de multiples formes sur Internet (spam infestant les messageries ou les
blogs, phishing, messagerie instantanée, déni de service distribué ?).

Outre évaluer les dommages causés par le social engineering, l’étude
détaille les tendances qui présagent l’avenir du spam et des virus ainsi
que les mesures que doivent prendre les entreprises pour assurer la
protection de leurs réseaux. Le spam n’est plus simplement un phénomène
irritant imputable à des individus. Il s’est aujourd’hui mué en un moyen de
propagation de codes malveillants dont l’organisation, la complexité
technique et le financement n’ont rien à envier aux campagnes commerciales
des éditeurs de logiciels. Pour gagner en efficacité et en rentabilité, les
créateurs de malware commencent même à proposer leurs produits sous forme
de solutions complètes, englobant support technique, outils d’analyse et
d’administration et mises à jour. Les derniers en date à avoir été
identifiés sont Bobax, Kraken/Kracken et Srizbi.

Pour prévenir la prolifération de codes malicieux tels que Storm et ses
successeurs, l’étude d’IronPort préconise que chaque entreprise emploie des
filtres anti-spam, vérifie sa réputation sur le Web, surveille l’activité
de ses ports de communication et tienne à jour l’ensemble de ses produits
anti-virus et anti-malware.


Voir les articles précédents

    

Voir les articles suivants