Angelina Jolie, Guest starde la diffusion d’un Malware

Les Laboratoires BitDefender ont identifié une nouvelle vague de spam utilisant de faux évènements concernant l’actrice Angelina Jolie dans le but de tromper les utilisateurs afin qu’ils téléchargent et installent un Trojan sur leurs ordinateurs.

Cette nouvelle campagne de diffusion de malwares se propage principalement via des spams au sujet d’une supposée vidéo pour adulte qui mettrait en scène la star de cinéma. Pour voir le film, les utilisateurs doivent télécharger un fichier binaire, video-nude-angelina.avi.exe, qui est infecté par Trojan.Agent.ACGZ.

Le message spam est composé d’une image explicite d’Angelina Jolie, accompagnée de textes prétendant que le mail a été envoyé dans le cadre du programme des offres MSN. Par ce biais, le message spam joue un double rôle en essayant, d’une part, de tromper l’utilisateur en lui faisant penser que c’est un e-mail d’information légitime et d’autre part, en évitant que les filtres antispams classent le mail comme un spam.

« Cette vague de spams appartient à une catégorie plus large d’e-mails non sollicités, qui reposent sur des techniques de « social engineering » de façon à pousser les utilisateurs imprudents à installer des trojans », déclare Vlad Valceanu, Directeur de la Recherche antispam BitDefender. « Ce type d’attaque semble avoir beaucoup de succès comme le montre la progression importante dont ils sont l’objet ces derniers mois. Afin d’atteindre leurs buts, les spammeurs s’appuient habituellement sur des célébrités internationales et leurs photos, accompagnées de titres accrocheurs et cependant faux. »

Ce n’est pas le premier incident impliquant Angelina Jolie. D’autant plus que, l’actrice a récemment donné naissance à 2 enfants, et les spammeurs ont tiré avantage de cet évènement pour infecter encore plus d’ordinateurs. La campagne de spam qui a suivi l’évènement a annoncé qu’Angelina avait donné naissance à pas moins de 5 enfants, et proposait même aux utilisateurs un lien vers un site Web qui prétendait proposer une petite vidéo de l’évènement. L’annonce, combinée à la célébrité d’Angelina Jolie, était destinée à tirer avantage de l’intérêt des utilisateurs pour les évènements sensationnels.

Une fois sur la page, les utilisateurs pouvaient voir une image représentant un lecteur vidéo en flash. Quand l’utilisateur arrivait sur la page web corrompue, le téléchargement démarrait immédiatement, sans intervention de l’utilisateur (un procédé aussi appelé le « Drive by download »). Le fichier binaire était infecté par le troyen : Trojan.Downloader.Exchanger.Gen.1, un bout de code malveillant qui a été largement utilisé dans une autre campagne de spam qui mettait en avant un soi-disant utilitaire antivirus, appelé Antivirus XP 2008.

Bien que l’approche soit relativement nouvelle, la technique sous-jacente a largement été utilisée par le passé. Cette campagne vise surtout des utilisateurs qui ne sont pas trop au fait des questions de sécurité- étant donné que ces derniers ne sont pas au courant de l’existence de scanners en ligne gratuits mis à disposition par les principaux éditeurs de logiciels de sécurité.

Le message du spam dirige l’utilisateur vers une page web légitime dont la page d’index a été doublée pour faciliter l’attaque. Par exemple, si la page d’accueil normale est index.php, l’URL dangereuse se terminera par index1.php. Cette deuxième page d’index est présentée à la manière de Windows Vista (fond d’écran Aero et icônes). L’aspect professionnel contribue grandement à inspirer confiance aux utilisateurs, bien que quelques détails devraient alerter les visiteurs au sujet de l’escroquerie.

Par exemple, en haut à droite de l’écran, le spam affiche les virus les plus actifs durant le mois de mai – ce qui signifie que la page n’a pas été mise à jour. Deuxièmement les autres éléments du texte sont écrits en Anglais basique avec des explications ambigües (comme “les attaques de Trojan endommagent plus de 3 million $ /heure.”) Le message du spam lui-même est écrit avec une grammaire pauvre, et de multiples zones pas très nettes visant à duper les filtres Antispam.

« Cette vague de spam utilise une vieille technique qui consiste à obscurcir certaine zone de texte de façon importante, afin d’empêcher les filtres Antispam d’identifier le message et de le catégoriser en tant que spam » a déclaré Vlad Valceanu. « Le message lui-même devrait pourtant être un avertissement suffisant pour l’utilisateur pour qu’il comprenne que le logiciel n’est pas légitime et provient d’une source suspecte. Indépendamment de cela, les utilisateurs devraient faire beaucoup plus attention aux pages web qui tentent de télécharger automatiquement un fichier sur leurs ordinateurs ».
Une fois installé sur l’ordinateur, le faux utilitaire antivirus installe discrètement d’autres fichiers à haut risque comme des adwares, des spywares ou autres malwares à partir de multiples serveurs ou sources issues d’Internet. De plus, une fois lancé, l’antivirus affichera différents messages répertoriant de multiples fausses menaces de sécurité sur la machine. C’est une méthode habituelle pour les fausses applications de sécurité pour induire en erreur les utilisateurs non-avertis et les faire payer une version “complète” d’un faux logiciel.
À propos de BitDefender®
BitDefender est la société créatrice de l’une des gammes de solutions de sécurité la plus complète et la plus certifiée au niveau international reconnues comme étant parmi les plus rapides et les plus efficaces du marché. Depuis sa création en 2001, BitDefender n’a cessé d’élever le niveau et d’établir de nouveaux standards en matière de protection proactive des menaces. Chaque jour, BitDefender protège des dizaines de millions de particuliers et de professionnels à travers le monde – en leur garantissant une utilisation sereine et sécurisée de l’univers informatique. Les solutions de sécurité BitDefender sont distribuées dans plus de 100 pays via des partenaires revendeurs et distributeurs hautement qualifiés. Dans les pays francophones, BitDefender est édité en exclusivité par Éditions Profil. Pour plus d’informations, visitez : www.bitdefender.fr
À propos des Editions Profil
Editions Profil, société indépendante créée en 1989, développe, édite et diffuse des logiciels sur différents secteurs d’activités, professionnel et grand public. L’éditeur a constitué un large catalogue de solutions dans de nombreux domaines, par exemple sur les segments de la bureautique et de la productivité. Editions Profil s’est plus particulièrement spécialisée ces dernières années dans l’édition et la distribution d’outils de sécurité informatique et la protection des données en général. Editions Profil édite notamment les solutions de sécurité BitDefender et Parental Filter, ainsi que les solutions Farstone et diffuse les solutions de récupération de données et de gestion de serveurs MS Exchange de Kroll-Ontrack.