Retour à la presse
16 juillet 2008
Angelina Jolie, Guest star de la diffusion d'un Malware
Cette nouvelle campagne de diffusion de malwares se propage principalement via des spams au sujet dune supposée vidéo pour adulte qui mettrait en scène la star de cinéma. Pour voir le film, les utilisateurs doivent télécharger un fichier binaire, video-nude-angelina.avi.exe, qui est infecté par Trojan.Agent.ACGZ.
Le message spam est composé dune image explicite dAngelina Jolie, accompagnée de textes prétendant que le mail a été envoyé dans le cadre du programme des offres MSN. Par ce biais, le message spam joue un double rôle en essayant, dune part, de tromper lutilisateur en lui faisant penser que cest un e-mail dinformation légitime et dautre part, en évitant que les filtres antispams classent le mail comme un spam.
« Cette vague de spams appartient à une catégorie plus large de-mails non sollicités, qui reposent sur des techniques de « social engineering » de façon à pousser les utilisateurs imprudents à installer des trojans », déclare Vlad Valceanu, Directeur de la Recherche antispam BitDefender. « Ce type dattaque semble avoir beaucoup de succès comme le montre la progression importante dont ils sont lobjet ces derniers mois. Afin datteindre leurs buts, les spammeurs sappuient habituellement sur des célébrités internationales et leurs photos, accompagnées de titres accrocheurs et cependant faux. »
Ce nest pas le premier incident impliquant Angelina Jolie. Dautant plus que, lactrice a récemment donné naissance à 2 enfants, et les spammeurs ont tiré avantage de cet évènement pour infecter encore plus dordinateurs. La campagne de spam qui a suivi lévènement a annoncé quAngelina avait donné naissance à pas moins de 5 enfants, et proposait même aux utilisateurs un lien vers un site Web qui prétendait proposer une petite vidéo de lévènement. Lannonce, combinée à la célébrité dAngelina Jolie, était destinée à tirer avantage de lintérêt des utilisateurs pour les évènements sensationnels.
Une fois sur la page, les utilisateurs pouvaient voir une image représentant un lecteur vidéo en flash. Quand lutilisateur arrivait sur la page web corrompue, le téléchargement démarrait immédiatement, sans intervention de lutilisateur (un procédé aussi appelé le « Drive by download »). Le fichier binaire était infecté par le troyen : Trojan.Downloader.Exchanger.Gen.1, un bout de code malveillant qui a été largement utilisé dans une autre campagne de spam qui mettait en avant un soi-disant utilitaire antivirus, appelé Antivirus XP 2008.
Bien que l'approche soit relativement nouvelle, la technique sous-jacente a largement été utilisée par le passé. Cette campagne vise surtout des utilisateurs qui ne sont pas trop au fait des questions de sécurité étant donné que ces derniers ne sont pas au courant de lexistence de scanners en ligne gratuits mis à disposition par les principaux éditeurs de logiciels de sécurité.
Le message du spam dirige l'utilisateur vers une page web légitime dont la page d'index a été doublée pour faciliter l'attaque. Par exemple, si la page daccueil normale est index.php, l'URL dangereuse se terminera par index1.php. Cette deuxième page dindex est présentée à la manière de Windows Vista (fond décran Aero et icônes). Laspect professionnel contribue grandement à inspirer confiance aux utilisateurs, bien que quelques détails devraient alerter les visiteurs au sujet de lescroquerie.
Par exemple, en haut à droite de lécran, le spam affiche les virus les plus actifs durant le mois de mai ce qui signifie que la page na pas été mise à jour. Deuxièmement les autres éléments du texte sont écrits en Anglais basique avec des explications ambigües (comme "les attaques de Trojan endommagent plus de 3 million $ /heure.") Le message du spam lui-même est écrit avec une grammaire pauvre, et de multiples zones pas très nettes visant à duper les filtres Antispam.
« Cette vague de spam utilise une vieille technique qui consiste à obscurcir certaine zone de texte de façon importante, afin dempêcher les filtres Antispam didentifier le message et de le catégoriser en tant que spam » a déclaré Vlad Valceanu. « Le message lui-même devrait pourtant être un avertissement suffisant pour l'utilisateur pour quil comprenne que le logiciel n'est pas légitime et provient dune source suspecte. Indépendamment de cela, les utilisateurs devraient faire beaucoup plus attention aux pages web qui tentent de télécharger automatiquement un fichier sur leurs ordinateurs ».
Une fois installé sur l'ordinateur, le faux utilitaire antivirus installe discrètement dautres fichiers à haut risque comme des adwares, des spywares ou autres malwares à partir de multiples serveurs ou sources issues dInternet. De plus, une fois lancé, lantivirus affichera différents messages répertoriant de multiples fausses menaces de sécurité sur la machine. C'est une méthode habituelle pour les fausses applications de sécurité pour induire en erreur les utilisateurs non-avertis et les faire payer une version "complète" d'un faux logiciel.