Angelina Jolie, Guest star de la diffusion d'un Malware

Cette nouvelle campagne de diffusion de malwares se propage principalement via des spams au sujet d’une supposée vidéo pour adulte qui mettrait en scène la star de cinéma. Pour voir le film, les utilisateurs doivent télécharger un fichier binaire, video-nude-angelina.avi.exe, qui est infecté par Trojan.Agent.ACGZ. Le message spam est composé d’une image explicite d’Angelina Jolie, accompagnée de textes prétendant que le mail a été envoyé dans le cadre du programme des offres MSN. Par ce biais, le message spam joue un double rôle en essayant, d’une part, de tromper l’utilisateur en lui faisant penser que c’est un e-mail d’information légitime et d’autre part, en évitant que les filtres antispams classent le mail comme un spam. « Cette vague de spams appartient à une catégorie plus large d’e-mails non sollicités, qui reposent sur des techniques de « social engineering » de façon à pousser les utilisateurs imprudents à installer des trojans », déclare Vlad Valceanu, Directeur de la Recherche antispam BitDefender. « Ce type d’attaque semble avoir beaucoup de succès comme le montre la progression importante dont ils sont l’objet ces derniers mois. Afin d’atteindre leurs buts, les spammeurs s’appuient habituellement sur des célébrités internationales et leurs photos, accompagnées de titres accrocheurs et cependant faux. » Ce n’est pas le premier incident impliquant Angelina Jolie. D’autant plus que, l’actrice a récemment donné naissance à 2 enfants, et les spammeurs ont tiré avantage de cet évènement pour infecter encore plus d’ordinateurs. La campagne de spam qui a suivi l’évènement a annoncé qu’Angelina avait donné naissance à pas moins de 5 enfants, et proposait même aux utilisateurs un lien vers un site Web qui prétendait proposer une petite vidéo de l’évènement. L’annonce, combinée à la célébrité d’Angelina Jolie, était destinée à tirer avantage de l’intérêt des utilisateurs pour les évènements sensationnels. Une fois sur la page, les utilisateurs pouvaient voir une image représentant un lecteur vidéo en flash. Quand l’utilisateur arrivait sur la page web corrompue, le téléchargement démarrait immédiatement, sans intervention de l’utilisateur (un procédé aussi appelé le « Drive by download »). Le fichier binaire était infecté par le troyen : Trojan.Downloader.Exchanger.Gen.1, un bout de code malveillant qui a été largement utilisé dans une autre campagne de spam qui mettait en avant un soi-disant utilitaire antivirus, appelé Antivirus XP 2008. Bien que l'approche soit relativement nouvelle, la technique sous-jacente a largement été utilisée par le passé. Cette campagne vise surtout des utilisateurs qui ne sont pas trop au fait des questions de sécurité– étant donné que ces derniers ne sont pas au courant de l’existence de scanners en ligne gratuits mis à disposition par les principaux éditeurs de logiciels de sécurité. Le message du spam dirige l'utilisateur vers une page web légitime dont la page d'index a été doublée pour faciliter l'attaque. Par exemple, si la page d’accueil normale est index.php, l'URL dangereuse se terminera par index1.php. Cette deuxième page d’index est présentée à la manière de Windows Vista (fond d’écran Aero et icônes). L’aspect professionnel contribue grandement à inspirer confiance aux utilisateurs, bien que quelques détails devraient alerter les visiteurs au sujet de l’escroquerie. Par exemple, en haut à droite de l’écran, le spam affiche les virus les plus actifs durant le mois de mai – ce qui signifie que la page n’a pas été mise à jour. Deuxièmement les autres éléments du texte sont écrits en Anglais basique avec des explications ambigües (comme "les attaques de Trojan endommagent plus de 3 million $ /heure.") Le message du spam lui-même est écrit avec une grammaire pauvre, et de multiples zones pas très nettes visant à duper les filtres Antispam. « Cette vague de spam utilise une vieille technique qui consiste à obscurcir certaine zone de texte de façon importante, afin d’empêcher les filtres Antispam d’identifier le message et de le catégoriser en tant que spam » a déclaré Vlad Valceanu. « Le message lui-même devrait pourtant être un avertissement suffisant pour l'utilisateur pour qu’il comprenne que le logiciel n'est pas légitime et provient d’une source suspecte. Indépendamment de cela, les utilisateurs devraient faire beaucoup plus attention aux pages web qui tentent de télécharger automatiquement un fichier sur leurs ordinateurs ». Une fois installé sur l'ordinateur, le faux utilitaire antivirus installe discrètement d’autres fichiers à haut risque comme des adwares, des spywares ou autres malwares à partir de multiples serveurs ou sources issues d’Internet. De plus, une fois lancé, l’antivirus affichera différents messages répertoriant de multiples fausses menaces de sécurité sur la machine. C'est une méthode habituelle pour les fausses applications de sécurité pour induire en erreur les utilisateurs non-avertis et les faire payer une version "complète" d'un faux logiciel.