Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport Threat Roundup de Trend Micro : Les cybercriminels inventent de nouvelles méthodes d’attaques

juillet 2008 par Trend Micro

Trend Micro présente les principaux résultats de son nouveau rapport sur les menaces Web "Trend Micro Threat Roundup and Forecast 1H 2008". Le constat majeur est que les cybercriminels ne se contentent plus de tirer avantage de nouvelles technologies pour commettre leurs exactions, mais qu’ils réinventent de nouvelles formes d’ingénierie sociale pour piéger tant les internautes que les entreprises. Au cours des six mois écoulés, les menaces Web se sont multipliées mais soulignent néanmoins une régression des adware (logiciels de publicité) et spyware (logiciels espion), générés par des outils devenus obsolètes face aux solutions de sécurité de nouvelle génération.

Tirer avantage de la nature humaine via des techniques d’ingénierie sociale et de phishing

Les techniques d’ingénierie sociale comme les extorsions financières en provenance du Nigeria ou l’intox des prisonniers espagnols existent depuis des décennies. Les cybercriminels remettent au goût du jour et modernisent ces grands classiques compte tenu des tendances du marché.

Les outils et technologies utilisées pour restituer la nature interactive des sites de réseau social les plus en vue sont en effet de véritables opportunités pour les cybercriminels. En mars dernier, Trend Micro a identifié plus de 400 kits de phishing capables de générer des sites de phishing qui émulent les principaux sites Web 2.0 (réseaux sociaux, partage de vidéo, sites de Voix sur IP), fournisseurs d’adresses emails gratuites et sites de commerce électronique.

Récemment, une nouvelle forme de phishing prétendait avertir les victimes potentielles des risques de certains messages de phishing, avec pour objectif de légitimer et d’encourager les destinataires à cliquer sur un lien vers un site malveillant. Les adeptes du spam recyclent également leurs vieilles techniques. En février dernier, Trend Micro s’est penché sur une tentative phishing Voix (ou vishing en anglais). Le message d’accroche avait tout pour convaincre : tous les liens redirigeaient vers des pages cibles légitimes, mais le message proposait aux destinataires d’appeler un numéro de téléphone pour réactiver leur compte prétendument neutralisé. Lors de l’appel téléphonique, les utilisateurs se voyaient demander leur numéro de carte bancaire et leur code, se faisant ainsi piéger par les auteurs de ce phishing.

Des logiciels malveillants qui associent les menaces

Les variantes de logiciels malveillants sont généralement traitées comme des menaces individuelles. Les menaces actuelles, motivées par des profits financiers, panachent plusieurs logiciels malveillants et définissent un modèle composite mais unique de menaces Web. Par exemple, un cybercriminel envoie un message de spam qui contient un lien vers une URL malveillante dans le message électronique ou le message instantané.
L’utilisateur clique sur le lien et est redirigé vers un site Web où un cheval de troie se télécharge automatiquement sur le PC de l’utilisateur. Ce cheval de troie télécharge un fichier supplémentaire de type spyware qui détourne des informations confidentielles comme des numéros de comptes bancaires. Ce type d’incident, bien qu’unique, panache les menaces et devient plus difficile à neutraliser et plus dangereux pour l’utilisateur.

Capitaliser sur les nouvelles technologies Le " fast flux " témoigne également de la capacité des cybercriminels à tirer avantage des innovations technologiques. Le " fast flux " est un mécanisme de changement rapide des DNS qui utilise des communications en peer-to-peer, des commandes et des contrôles émis à partir de différents sites physiques, une répartition des charges Web et une re-direction par proxy pour dissimuler les sites de phishing. Le " fast flux " permet aux sites de phishing de rester actifs plus longtemps et donc de multiplier les victimes. Résultat : les chercheurs ont du mal à identifier les domaines malveillants à la source d’attaques puisque les pirates utilisent le " fast flux " pour opérer le plus furtivement possible.

Montée en puissance des menaces Web et recul des adware et keyloggers

Trend Micro a identifié une très forte croissance des menaces Web au cours du premier semestre 2008, avec un pic de 50 000 000 en mars dernier contre environ 15 000 000 en Décembre2007.

Les adware, les logiciels de traçage (trackware) ou d’enregistrement de frappe (keylogger), et autres freeloaders (outil furtif de téléchargement) sont en repli. En mars 2007, Trend Micro a identifié qu’environ 45% des PC étaient infectés par un adware, un chiffre qui tombe à 35% en avril 2008. En mai 2007, 20 % des PC présentaient un trackware contre seulement 5% en avril 2008. Les keyloggers présentent également un léger repli, avec moins de 5% des PC infectés contre un peu plus de 5% en 2007.

"Cet état des lieux illustre l’évolution des cybercriminels au cours du temps. Ils délaissent les méthodes adossées à des technologies obsolètes et se focalisent sur des menaces plus lucratives et rentables", constate Raimund Genes, Chief Technology Officer de Trend Micro.

Autres points intéressants de l’étude :

- Les sites Web le plus consultés sont devenus la principale cible des attaques. Début janvier, plusieurs attaques d’envergure par injection SQL ont été initiées sur des milliers de pages Web gérées par des entreprises du palmarès Fortune 500, des administrations ou des établissements pédagogiques.
- Les menaces mobiles restent minoritaires. En janvier dernier, Trend Micro a identifié un logiciel malveillant maquillé en fichier multimédia pour infecter les téléphones mobiles Nokia de génération précédente.
- L’amélioration des compétences va de pair avec une meilleure précision des attaques. Les cybercriminels ciblent des utilisateurs influents, à l’instar de dirigeants d’entreprise et autres personnes plus aisées, pour ainsi accéder à des comptes bancaires plus rentables, à des identifiants personnels ou à toutes les adresses email d’une entreprise.
- Le spam s’est légèrement replié en volume au début de 2008, peut-être pour cause de pause suite à la saison des fêtes. Les volumes se sont redressés en mars, avant de fléchir légèrement en avril. Toute baisse de l’activité de spam est interprétée par Trend Micro comme un signe que les spammers se mobilisent pour lancer de nouvelles attaques ou testent de nouvelles techniques.
- Les bots (PC infectés) se sont multipliés, de 1 500 000 en janvier à plus de 3 500 000 en février. À noter néanmoins une très forte baisse en mars.

Prévisions pour les 6 prochains mois :

Suite aux études et observations des attaques qui se sont manifestées depuis le début de l’année, les chercheurs de Trend Micro tablent sur les tendances suivantes au cours des 6 prochains mois.

" Les techniques d’ingénierie sociale resteront prédominantes et utiliseront des approches toujours plus sophistiquées. Trend Micro anticipe que les cybercriminels vont titrer avantage d’événements tels que les prochains Jeux Olympiques, le shopping lié à la rentrée des classes, les élections américaines, les événements sportifs majeurs et les fêtes de fin d’année.

Les cybercriminels cibleront encore les nouvelles vulnérabilités découvertes dans les logiciels tiers de type QuickTime, RealPlayer, Adobe Flash, etc.

Le Crimeware, à savoir l’activité criminelle qui utilise des techniques de type dialer (numéroteur) et enregistreurs de frappe poursuivront leur déclin, compte tenu de l’obsolescence de ces techniques. Le Grayware, qui regroupe des outils tels que les outils de traçage et de détournement de navigateurs, va progressivement reculer, ces outils étant incapables de se calibrer aux réseaux de bots constitués de plusieurs millions de PC infectés.

Le Spam poursuivra sa croissance exponentielle avec un volume de spam qui devrait croître de 30 à 50 milliards de messages par jour. Les activités de spam et de phishing devraient bondir en août avec les Jeux Olympiques et la rentrée des classes. Un pic d’activité saisonnier est également prévu en novembre lors de la période des vacances scolaires (170 à 180 milliards de messages).

Le spam et le phishing continueront à jouer un rôle majeur et associeront plusieurs menaces. Environ 0,2 % des requêtes (1 sur 500) sont à destination de sites Web hébergés sur des serveurs malveillants, et cette tendance est appelée à perdurer.

Les bots et les réseaux de bots seront toujours plus actifs et seront les principaux vecteurs de spam, de détournement d’information, d’attaques ciblées et de campagnes d’infection à grande échelle.




Voir les articles précédents

    

Voir les articles suivants