Kaspersky Lab décrypte les attaques par téléchargements à la dérobée, de plus en plus pratiquées par les cybercriminels

15 avr. 2009
Actualités Virus

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de menaces cybercriminelles (botnets, escroqueries, phishing, spams, etc), publie un article de Ryan Naraine, spécialiste en sécurité des données chez Kaspersky Lab, intitulé « Téléchargements à la dérobée… Le Net pris d'assaut ». Cet article traite du téléchargement d'applications malveillantes depuis des sites Internet à l'insu de l'utilisateur. Il présente les technologies exploitées pour organiser les attaques, les techniques employées pour attirer les utilisateurs vers les sites infectés et les méthodes de téléchargement utilisées par les cybercriminels pour voler les données et s'emparer des ordinateurs de leurs victimes.

Les cybercriminels profitent au maximum d’Internet pour déployer leurs attaques : vers, virus, chevaux de Troie, outils de dissimulation d'activité, faux programmes de protection des données ou autres utilitaires de création de réseaux de zombies. L'insertion d'un programme malveillant depuis un site Internet grâce aux téléchargements à la dérobée permet d'infecter un ordinateur sans que son utilisateur s’en aperçoive.

Générant ainsi un taux de réussite très élevé, cette méthode a considérablement gagné en popularité chez les cybercriminels. Selon les données recueillies par ScanSafe, 74 % des programmes malveillants découverts au cours du troisième semestre 2008 ont été placés sur des sites Internet infectés.

L'attaque par téléchargements à la dérobée se déroule en 2 étapes.

Tout d'abord, des messages non sollicités sont diffusés par courrier électronique ou dans des groupes de discussion sur Internet, mentionnant un site contenant un code qui réoriente une requête vers un autre serveur hébergeant un code d’activation.

Lors des attaques par téléchargements à la dérobée, les cybercriminels utilisent des codes d’activation, vendus sur des sites de piraterie illégaux. Ces codes visent non seulement les vulnérabilités des navigateurs Internet, de leurs modules externes non protégés, des éléments d'administration Active X, mais aussi les failles dans la protection d'une application tierce.

Le serveur qui héberge ces codes d’activation peut utiliser les données de l'en-tête de la requête HTTP afin d’identifier précisément le navigateur utilisé par l’internaute et le système d’exploitation installé sur son ordinateur.

Une fois le système d'exploitation reconnu, le code d'exploitation correspondant est activé et commence à agir. Dans certains cas, plusieurs codes d'activation peuvent être déclenchés simultanément pour infecter l'ordinateur.

Ensuite, un cheval de Troie permet aux cybercriminels de prendre les commandes de l'ordinateur est installé à l'insu de l'utilisateur, d’accéder ainsi aux données confidentielles sauvegardées ou d’organiser des attaques par déni de service.

Les cybercriminels créaient auparavant des sites malveillants. Ils infectent désormais les ressources Internet légitimes en y plaçant des codes d'activation de scripts ou des codes de redirection des requêtes, ce qui rend les attaques via le navigateur Internet encore plus dangereuses.

Les experts en sécurité informatique observent une recrudescence alarmante des attaques par téléchargements à la dérobée. A titre d’exemple, au cours des 10 derniers mois de l’année 2008, l'équipe chargée de lutter contre les programmes malicieux chez Google a analysé plusieurs milliards de pages à la recherche d’activité malveillante et a découvert plus de 3 millions d'URL contenant des codes d'activation utilisant les téléchargements à la dérobée.

Cette nouvelle épidémie s'explique avant tout par le fait que de nombreux ordinateurs n'utilisent pas la version actualisée de Microsoft Windows alors que la majorité des codes d'activation s’appuie sur les vulnérabilités connues et pour lesquelles il existe d’ailleurs des correctifs.

En conclusion de son article, Ryan Naraine, spécialiste en sécurité des données chez Kaspersky Lab, auteur de “Téléchargements à la dérobée… Le Net pris d'assaut” fournit quelques conseils pour éviter de telles attaques. La meilleure protection consiste à installer les mises à jour diffusées par les éditeurs de solutions de sécurité informatique. Il convient également d'utiliser des navigateurs Internet qui bloquent les sites d'hameçonnage ou les sites malveillants (Internet Explorer, Mozilla Firefox et Opera). De plus, il faut absolument activer le pare-feu, installer un logiciel antivirus et maintenir les bases antivirales à jour. Il faut également que le logiciel antivirus analyse le trafic Internet afin de pouvoir découvrir à temps les tentatives d'attaques par téléchargements à la dérobée.

La version complète de cet article est disponible sur le site d'analyse et d'informations www.viruslist.fr.

Kaspersky Lab autorise la réimpression de cet article pour autant que l'ensemble des données relatives à l'auteur (auteur, société, source) soit mentionné. Toute publication d'un texte retravaillé devra faire l'objet de l'accord préalable du service d'informations de Kaspersky Lab.

  PARTAGER