Spam Omelette n°44 –Diplômes et faux e-mails de l’IRS

Semaine analysée : du 23 au 30 septembre

1. N’allez pas à l’université S’IL VOUS PLAÎT !

En première position dans cette édition de la Spam Omelette, le mot « PLEASE » a été détecté dans de multiples vagues de spam promouvant différents produits, des habituelles gélules de Canadian Pharmacy aux combines douteuses pour devenir riches, et même, des diplômes universitaires. Bien que de nombreux messages de spam envoyés par Canadian Pharmacy utilisent encore le mot « PLEASE », nous présentons cette semaine un différent type d’e-mail indésirable, des échantillons de «  spam éducatif » recueillis par BitDefender grâce à son réseau de « pots de miel » (honeypots).


Le « spam éducatif » est relativement récent. Son principe est simple : on demande à l’utilisateur de verser une somme d’argent en échange d’une feuille de papier affirmant qu’il a obtenu un diplôme d’une obscure institution (qui, la plupart du temps, n’est pas reconnue). La vague de spam présentée ici est très ciblée : l’e-mail indique le prénom du destinataire, ce qui signifie que les spammeurs ont accès à une base de données de noms et d’adresses e-mail (probablement achetée sur le marché noir, ou créée à partir de listes d’utilisateurs inscrits à divers services). Une fois encore, soyez particulièrement vigilants lorsque l’on vous demande de vous inscrire pour utiliser un service gratuit !

2. Canadian Pharmacy se fait passer pour WebMD

En deuxième position de ce classement hebdomadaire, le mot « WebMD » a été détecté dans des messages envoyés par la boutique en ligne Canadian Pharmacy afin de promouvoir des produits permettant d’améliorer les performances sexuelles. Ces e-mails se font passer pour la véritable newsletter de WebMD, le site de ressources en ligne sur la santé. La newsletter a été modifiée légèrement afin de contenir au centre une image présentant les offres de Canadian Pharmacy. Ce type de messages est principalement envoyé par le cheval de Troie spammeur Tedroo.

3. CLIQUEZ ici. Nous nous occupons du reste !

Le mot « CLICK » a été détecté dans de multiples vagues de spam liées au premier spammeur au monde, Canadian Pharmacy. Le message se fait passer pour une confirmation d’achat de Walmart, et contient au centre une image présentant les offres de Canadian Pharmacy. Le message de spam contient également un lien censé permettre de se désabonner, mais il conduit en fait les utilisateurs vers la version web de la newsletter.

4. Tous les sujets sont bons pour les spammeurs, même les IMPÔTS

Le 15 septembre est généralement le jour où les citoyens américains retournent leur déclaration de revenus de l’année précédente. Cela n’a pas échappé aux spammeurs, qui ont lancé une attaque malware en utilisant des liens vers des fichiers binaires infectés par ZBOT.

Le message censé provenir de l’IRS américain (administration fiscale américaine), demande aux victimes de revoir leur déclaration en cliquant sur le lien du message. Mais cliquer sur le lien lance en fait le téléchargement d’un fichier exécutable infecté par Zbot, un malware extrêmement dangereux aux capacités de rootkit. Pour plus d’informations sur les arnaques liées à l’IRS, veuillez consulter cet article.

5. DÉSINSCRIVEZ-moi des newsletters de spam

En dernière position de cette Spam Omelette, le mot « UNSUBSCRIBE » a été détecté dans des messages non sollicités provenant également de Canadian Pharmacy. Le message est censé permettre à l’utilisateur de se désinscrire de la liste de diffusion mais en cliquant sur ces liens celui-ci est redirigé vers un domaine chinois promouvant les produits de Canadian Pharmacy.