Spam Omelette no 28 - Le Cheval de Troie spammeur

Semaine analysée : du 27 mai au 13 juin

1. WebMD de retour dans le classement

Le mot WebMD est de retour dans le classement du spam avec l'arrivée d'une nouvelle campagne de spam menée par la tristement célèbre boutique de médicaments en ligne, Canadian Pharmacy. Nous rappelons, comme nous l'avons expliqué dans de précédentes éditions de la Spam Omelette, que la marque WebMD est légitime et applique une politique de confidentialité stricte à ces newsletters ; les newsletters de Canadian Pharmacy, quant à elles, utilisent sans autorisation le logo WebMD et son identité visuelle. 

Il semble que l'un des principaux vecteurs de la campagne WebMD soit le malware  Trojan.Spammer.Tedroo. Une fois que ce cheval de Troie a infecté un hôte, il commence à envoyer des e-mails non sollicités promouvant les produits de Canadian Pharmacy, ainsi que des messages de publicité pour des vidéo-clips sexy d'Angelina Jolie. Les utilisateurs qui cliquent sur le lien hypertexte contenu dans ces e-mails sont invités à installer un faux codec, un fichier binaire infecté par le ” spam bot ” (robot spammeur) Tedroo.

 

2. Pas de VIE PRIVéE pour les victimes du spam

En seconde position de ce classement hebdomadaire du spam, le mot ” privacy ” (” vie privée “) a été identifié dans de nombreuses campagnes de spam de Canadian Pharmacy, promouvant principalement l'amélioration des performances sexuelles. Le mot apparaît dans le texte du faux avertissement situé en bas du message, une méthode visant à faire passer le spam pour des newsletters légitimes.

Cette fois-ci, les spammeurs utilisent un grand nombre de sujets d'e-mails, allant de petits conseils sympathiques à des sujets paraissant professionnels. Ainsi, les spécialistes du spam BitDefender ont identifié le même modèle d'e-mail associé à des sujets tels que : Nouvelles Cartes d'Accès, Pour les amateurs de films, Elle a un blog ! Lis-le et des avertissements liés à la crise financière comme Délai de Paiement Dépassé ou Nos réductions de personnel. 

 

3. Les faux liens UNSUBSCRIBE ou les multiples facettes de Canadian Pharmacy

Cette semaine, Canadian Pharmacy a recours de nouveau aux faux liens de désabonnement (UNSUBSCRIBE) avec encore un autre modèle d'e-mail (template). Le système est extrêmement ancien et permet toujours de recueillir des adresses e-mail valides pour de futures campagnes de spam : lorsque l'utilisateur clique sur le lien de désabonnement, son adresse e-mail est validée dans la base de données du spam. Ensuite, l'utilisateur est redirigé vers un clone du site Internet de Canadian Pharmacy.

Cette vague de spam spécifique repose sur un faux en-tête d'e-mail qui indique que le destinataire est également l'expéditeur. étant donné que les utilisateurs font souvent figurer dans leur Liste Blanche (liste des expéditeurs considérés comme sûrs) des e-mails provenant d'un domaine particulier (notamment dans les entreprises), un message de spam censé provenir du même domaine que le destinataire a de fortes chances de se retrouver directement dans sa boîte de réception plutôt que d'être classé avec le spam. 

 

4. VEUILLEZ lire ceci, puis permettez-moi de vous envoyer du spam

En quatrième position de cette édition de la Spam Omelette, le mot ”  PLEASE ” a été identifié dans des messages promouvant ” une proposition commerciale 100 % légitime et sans risque “. Contrairement à d'autres campagnes de spam utilisant des textes et des stratégies similaires, cette vague de spam spécifique n'essaie pas de tromper l'utilisateur avec une arnaque nigériane ou d'obtenir des informations personnelles pour effectuer par la suite des vols d'identité. Au lieu de cela, le spammeur demande simplement à l'utilisateur de répondre s'il est intéressé – une méthode permettant de recueillir des adresses e-mails valides pour de futures campagnes de spam.

 

5. Le Spam est toujours à portée de CLIC

Le mot ” CLICK ” a été identifié par les spécialistes du spam BitDefender, notamment dans des e-mails non sollicités provenant de boutiques en ligne commercialisant des médicaments vendus sur ordonnance. Pour que l'utilisateur ouvre le message, les spammeurs utilisent des sujets d'e-mails efficaces, liés aux activités de tous les jours. Cet e-mail indique comme sujet ” Liste de vos activités sur Internet “, en allusion à la récente politique des fournisseurs d'accès à Internet consistant à surveiller l'activité du réseau et les téléchargements de matériel protégé par copyright.