Historiques des campagnes
2000-2004 : Les vers de messageries
Un vers informatique est un code malveillant capable de s'auto-reproduire et de se déplacer à travers un ou des réseau(x), sa particularité c'est qu'il n'a pas besoin d'un support physique ou logique : disque dur, fichier, etc.. il assure sa survie et ses mutations à travers les réseaux.
Les vers actuels se propagent principalement grâce aux messageries électroniques par l'envoi de fichiers attachés. Une fois infecté, le ver va envoyer des copies de lui même aux destinataires du carnet d'adresses de la victime et ainsi de suite de manière quasi-exponentielle.
De 2000 à 2004 des vers de messageries ont été créés, des noms connus tels que "W32.Mydoom.M", le vers "Sobig" ou encore le vers "I Love You" ont infectés des millions de Windows à travers le monde. A l'époque, les réelles "campagnes", au sens que l'on connait aujourd'hui, en était qu'à leurs balbutiements et les internautes n'étaient absolument pas informés des risques et des menaces liés aux usages des réseaux et des outils informatiques.
2007 : Zhelatin/Storm
2007, les criminels professionnels entre en piste, des campagnes plus sophistiquées voient le jour avec notamment le ver Storm/Zhelatin/Peacomm/Nuwar. Le nom Storm vient de la première campagne qui a su exploiter la panique qu'à engendré la tempête Cyril qui a frappé le nord de l'Europe.
La vidéo suivante montre Storm :
Les innovations apportées sont multiples :
- Utilise la technologie Rootkit Kernel-mode.
- Utilise des liens cliquables externes au lieu de pièges jointes.
- Utilise des thématiques / évènements (Saint Valentin, Poisson d'Avril, Noêl,...).
Quelques exemples de campagnes.
Ici le mail consiste à donner des liens qui conduisent aux binaires malicieux.
Storm Worm : Campagne MP3 World
D'autres campagnes : Storm / Waledac - Kelihos
Storm Worm : campagne email célébrités nues
Mi-2008 : scarewares - faux logiciels
Trojan-Downloader.Win32.Exchanger avait pour but de faire installer des faux logiciels : rogues/scarewares. A partir de maintenant, nous n'avons plus à faire à des vers mais à des zombies organisés par réseaux botnets dédiés aux activités : spam. Les botnets sont loués et servent à la gestion complète des campagnes malicieuses. Durant cette période va s'opérer une segmentation marquée des activités criminelles : un véritable éco-système se met alors en place.
Ces campagnes utilisaient plusieurs thématiques :
- célébrités qui redirigeaient vers l'installation de faux codecs
- news reprenant CNN vers de faux lecteurs
Le programme téléchargé et executé, un rogue (faux-logiciel) était installé sur Windows.
2009+ : TDSS + Zeus/Zbot
D'autres campagnes diffuseront des programmes spécialisés dans les vols d'identifiants et d'informations bancaires, c'est le cas de : Zeus/Zbot ou TDSS.
La particularité des campagnes c'est d'exploiter l'image et les services d'entreprises connues comme : UPS, DHL Service, Facebook, Banques etc.. Généralement, ces pourriels redirigeaient vers des exploits WEB ( l'automatisation des infections )
Mail ecard : Zbot/Zeus et TDSS.
Microsoft Outlook Critical Update - Zbot/Zeus
DHL Service :
Faux email Facebook :
ou encore MySpace ou UPS.
2014/2015 : Upatre & Dalexis
2014/2015 ont vu des campagnes Upatre puis en 2015 de TrojanDownloader:Win32/Dalexis. Ces deux malwares sont des trojans downloader qui ont pour but de télécharger d'autres codes malveillants. Notamment d'installer des rançongiciels chiffreurs de fichiers.
Ces campagnes visent surtout les anglophones et reprennent une nouvelle fois les entreprises connues implantées sur la toile comme : Fax Services, Voice Message. A chaque fois des pièces jointes malicieuses sont utilisées.
Les techniques employées
Comme vous l'avez constaté : deux méthodes sont utilisées pour infecter les internautes.
- pièces jointes malicieuses : l'utilisateur ouvre / exécute le fichier attaché.
- liens cliquables : l'utilisateur clique et cela redirige vers un programme ou vers un exploit WEB.
Tous les moyens sont bons pour tromper les victimes, l'ingenerie sociale ( social engeenering ), l'utilisation d'évènements prévisibles ( qui abaissent la vigilance ), l'utilisation de la "personnalisation du faux" : sites, logiciels, services d'entreprises, documents, logos,... Si en majorité les campagnes sont en langue anglaise, il peut arriver que des campagnes ciblées soient en français. Vous trouverez des exemples sur cette page.
Double extension
La double extension est un grand classique qui consiste à utiliser une icône connue sur un programme, par exemple celle d'un fichier PDF puis d'utiliser quelque chose comme ".pdf.exe" En effet, Windows par défaut masque les extensions de fichiers connus, l'internaute ne verra donc qu'un fichier avec une icône PDF et pensera alors que c'est un banal document PDF alors qu'il s'agit d'un exécutable. Ces anciennes méthodes étaient utilisées dès 2007 par les vers MSN : ces derniers se faisaient passer pour des photos.
Il y en a même eu avec des pièces jointes malicieuses en .gadget. Microsoft a depuis éliminé Gadget en reconnaissant qu'il s'agissait d'un véritable coupe-gorge : Les gadgets peuvent être exploités pour endommager votre ordinateur, accéder à vos fichiers, afficher du contenu répréhensible ou encore changer de comportement à tout moment. Un attaquant peut même utiliser un gadget pour prendre le contrôle intégral de votre PC. [ source: http://windows.microsoft.com/fr-FR/windows/gadgets ]
Autre exemple avec des zips contenant un fichier .js ou chm - voir les cas Defender Pro 2015 et TeslaCrypt.
Scripts malicieux (WSH - Windows Scripting Host)
Des pièces jointes VBS peuvent être utilisées ( voir Malwares VBS / WSH (Windows Scripting Host) ) et surtout du JavaScript par la suite. Il est donc fortement conseillé de désactiver les scripts : Comment se protéger des scripts malicieux sur Windows.
Pour limiter la portée des emails malicieux, vous pouvez installer le programme Marmiton permet de filtrer ces scripts.
Documents Microsoft Office piégés (Macros)
Il est possible d'infecter des Windows avec des documents Office ( Word, Excel, Access,.. ) avec des macros, Dridex s'en est fait une spécialité. Fin 2015, il est à l'origine des infections du ransomware Locky : Campagne Emails Word Malicieux
Sur la captures ci-dessous, on peut voir "Winword.exe" qui télécharge et exécute un programme.
Le programme fait ensuite une requête WEB pour se connecter au serveur.
Windows est alors sous contrôle et les activités criminelles peuvent commencer.
En vidéo :
En cas de doute, analyser le fichier sur VirusTotal. Si des détections sont présentes, n'ouvrez surtout pas le fichier. Si vous regardez bien, quasiment toutes les pièces jointes malicieuses utilisent des fichiers .zip - vous devez donc prêter une attention particulière à ces fichiers. Sans utiliser une seule macro, certains documents Word / Excel peuvent être tout aussi dangereux : mettez régulièrement vos logiciels à jour.
Prenez le temps de lire le contenu de l'email. Vous y décèlerez peut être des anomalies, des fautes, des erreurs de syntaxes ou des éléments qui laissent à penser que celui-ci n'est pas authentique.
Voici un exemple de courriel légitime émanant de Free :
Et ci-dessous, un courriel malicieux :
Vous devez donc retenir ceci :
- Afficher les extensions de fichiers - se reporter à la page Les extensions de fichiers et la sécurité.
- Désactiver les scripts sur Windows.
- Se méfier de toutes les pièces jointes, scannez les, surtout des .zip
- Se méfier des liens cliquables, dès qu'il y en a, relisez le courriel.