Rétrodiffusion : erreur mail delivery system

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Rétrodiffusion : erreur mail delivery system

Message par Malekal_morte » 07 sept. 2015 16:20

Plusieurs sujets dernièrement sur des comptes Free piratés suite à, je présume, une campagne de phishing visant les internautes Free. Exemple avec ce sujet où la personne dit que son compte a été utilisé pour envoyer des pourriels / spam.

Image

Les internautes s'aperçoivent d'un dysfonctionnement car ils reçoivent beaucoup de retours avec des erreurs : Mail delivery system ou "Undelivered Mail Returned to Sender" et s'en inquiètent.

Le site commentcamarche.net parle aussi de phishing visant les internautes Free : Sujet Phishing Free - CCM

Mais également d'autres sujets avec des comptes Free utilisés probablement pour spammer :
* Free - Mail delivery system
* Free - Mailer dameon
* Undelivered Mail Returned to Sender

Si vous êtes confronté au même problème, commencez par modifier les mots de passe de vos comptes de messagerie. Faites bien attention lorsque vous recevez des courriels qui vous demandent de saisir vos identifiants sous un prétexte donné : supprimez les car il s'agit de pièges.

Plus d'informations sur le phishing / hameçonnage, visiter : stopphishing.fr
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Re: retrodiffusion et mail delivery system

Message par Malekal_morte » 26 oct. 2015 16:22

Quelques autres cas de retrodiffusions. La rétrodiffusion ou backscatter (en anglais) sont des messages d'erreurs de notification d'envoi de courriels reçus lorsque des spammers utilisent des adresses emails connues pour envoyer des pourriels ou spam (en anglais).

Comme l'expéditeur est connue du destinataire, on s'imagine que le compte ou le PC de son ami est infecté. L'expéditeur reçoit en retour les messages d'erreurs des pourriels alors qu'au départ il n'a rien envoyé. Cas chez Free sur le forum CCM : http://www.commentcamarche.net/forum/af ... gerie-free. Cas sur le forum Messages Gmail suspects intitulés "message important"

Exemple de "Important Message" ou "Nouveau message" suivi d'un lien.

Code : Tout sélectionner

Important message, please read <­http://vapgroup.net/offer.php?78­>­ 
Nouveau message, s'il vous plaît lire <http://jackpotcollege.com/our.php?e>
Les WIN- suivi de lettres et chiffres pour se faire passer pour une machine cliente Windows. Sur Google, on trouve pas de mal de sujets où des personnes se plaignent de recevoir ces pourriels.
WIN-R8OIIGHFDGK
WIN-QR1R9GS1KDE
WIN-A9S0SUBJN6U
WIN-QR1R9GS1KDE
WIN-NPPN1JPV75J
Sur les deux liens donnés en exemple, on retrouve d'ailleurs : WIN-NPPN1JPV75J
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Re: SPAM et mail delivery system

Message par Malekal_morte » 06 nov. 2015 21:24

Rencontré aujourd'hui - Peut-être Cutwail ?
SHA256: f0acb7f567ea7fdb586e18b5a610667c6ccefac66240170708327205f715237d
Nom du fichier : sxwzqeij.exe
Ratio de détection : 14 / 53
Date d'analyse : 2015-11-06 14:54:41 UTC (il y a 3 minutes)
0 1
Analyse
File detail
Informations supplémentaires
Commentaires
Votes
Antivirus Résultat Mise à jour
AVG Inject3.NXF 20151106
Arcabit Trojan.Barys.294 20151106
Avast Win32:Evo-gen [Susp] 20151106
Avira TR/Crypt.ZPACK.Gen 20151106
BitDefender Gen:Variant.Barys.294 20151106
ESET-NOD32 a variant of Win32/Injector.CLVQ 20151106
Emsisoft Gen:Variant.Barys.294 (B) 20151106
F-Secure Gen:Variant.Barys.294 20151106
Fortinet W32/Injector.CLVS!tr 20151106
GData Gen:Variant.Barys.294 20151106
Kaspersky HEUR:Trojan.Win32.Generic 20151106
McAfee-GW-Edition BehavesLike.Win32.VBObfus.ch 20151106
MicroWorld-eScan Gen:Variant.Barys.294 20151106
Qihoo-360 QVM03.0.Malware.Gen 20151106
Il a l'air de ressembler au SPAM que des personnes reçoivent depuis plusieurs mois, on retrouve les fameux WIN-XXXXX. A noter que le SPAMBot semble assez intelligent puisqu'il envoie avec le domaine du fournisseur d'accès, ici wanadoo.fr
Trojan_cutwail_spam_2.png
SPAM et mail delivery system
L'injection de svchost.exe (un grand classique) afin de contourner les règles restrictives du pare-feu :
Trojan_cutwail_spam.png
SPAM et mail delivery system
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: SPAM et mail delivery system

Message par ѠOOT » 07 nov. 2015 19:24

Bonjour,

L'échantillon f0acb7f567ea7fdb586e18b5a610667c6ccefac66240170708327205f715237d n'est pas récent. Le programme a été compilé le mardi 25 août 2015 à 13:35:45, tout comme la date hardcodée dans le binaire. On a confirmation quant à la lecture des IPs de la configuration embarquée :

→ 43.249.252.190 (JP)
→ 43.252.173.152 (JP)
→ 111.121.193.242 (CN)

Ce qui nous ramène aux campagnes RIG EK d'août 2015 puisqu'on retrouve ces mêmes IPs dans la sous rubrique POST-INFECTION du blog Malware-Traffic-Analysis dans le billet 2015-08-24 - RIG EK FROM 94.142.140.222 - LOAD.LEDREQUIRED.COM. Finalement ce qui est interessant c'est plutôt le contexte car d'après ce que tu m'as expliqué Malekal, l'échantillon provient d'une machine infectée le 6 novembre 2015 et qui a d'abord été impactée par le rançongiciel chiffreur TeslaCrypt.

2015-11-06 01:10 - 2015-11-06 01:10 - 00000254 _____ C:\Users\ALPHA\Documents\recover_file_jwfflhfip.txt
2015-11-06 01:57 - 2015-11-06 01:57 - 00000254 _____ C:\Users\ALPHA\Documents\recover_file_ipbqclffx.txt
2015-11-06 02:43 - 2015-11-06 02:43 - 41406464 ____H (Najmitan, Isc. ) C:\Users\ALPHA\fkjmdrvw.exe


Si on observe la timeline des timestamps, TeslaCrypt arrive avant le moteur de spams. Est-ce une erreur ? Le kit d'exploitation de vulnérabilités aurait délivré en drive-by download de multiples charges : une récente le TeslaCrypt et une plus ancienne, le Spambot ? Ou bien est-ce voulu.. d'un point de vue purement tactique, c'est une combinaison gagnante. L'adversaire diffuse des pourriels pendant et après que le rançongiciel prends en otage les fichiers ; un peu à la manière de cas observés avec vols d'identifiants avant "rinçage". Pour eux, la machine compromise peut être considérée comme "perdue" dès lors que les opérations de chiffrage sont terminées et ceci jusqu'à la possible obtention de la rançon. Pendant ce temps, les machines pourraient servir à toutes sorte de tâches: construire / rejoindre un botnet, conduire des attaques (ex: DDoS),.. À voir si ça se constate sur d'autres cas. Erreur de diffusion des charges utiles OU nouvel axe visant à maximiser les profits ? Je parierai sur la deuxième..

( January 7, 2016 ) Rigging compromise - RIG Exploit Kit
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Re: Comptes Free et mail delivery system

Message par Malekal_morte » 08 nov. 2015 14:11

Merci pour le résumé, je reviendrai si je vois d'autres cas, je reviendrai éditer.

edit: (03 Déc 2015) teslacrypt-ransomware-fichiers-extensio ... ml#p410066
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Spam "important message"

Message par Malekal_morte » 16 déc. 2015 21:45

Autres plaintes de rétrodiffusions présumées sur les forums. Sur mon adresse newsletter, je reçois quelqu'un de ces emails provenant d'adresse Alice, Orange et Free.

Les mails comportent en sujet :
new important message
important message
et sont de la forme :
Hello!

New message, please read http://domain.tld/lien.php

xxx@orange.fr
Spam_important_message.png
Spam import message

Sur un des messages, on a même un message d'Avast! disant que le mail ne comporte pas de virus en russe...
Spam_email_alice_free.png
Spam email Free, Alice et Orange
Ce dernier est bien envoyé depuis une machine infectée en Russie.
Spam_email_alice_free_2.png
Spam email Free, Alice et Orange
Par contre, on ne trouve pas d'ID WIN-XXXXX comme précédemment.
L'utilisation en enveloppe de "vraie adresse" provoquera la rétrodiffusion sur cette dernière.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Re: Comptes Free et mail delivery system

Message par Malekal_morte » 24 mai 2016 20:15

Ces campagnes continuent, pas mal d'internautes se plaignent d'envoie d'emails anormaux.
Les sujets de ces SPAM :
Fw: new message
useful stuff
great stuff for you
that's really nice
some interesting info
OMG it's true
Quelques exemples de corps de message.

Code : Tout sélectionner

Hi,

I've just found something really interesting and OMG ... it's amazing, just take a look http://segyntyjy.amayaestrada.com/southeast.php

Warmest, 

Code : Tout sélectionner

Hello,

I've recently read some useful information, I guess it might be useful for you too, please read at http://niverdefri.alignmentspecs.biz/outer.php

See you around

Code : Tout sélectionner

Hey,

Have you seen this before? That's something really nice, more info here http://biquantyju.choosecottage.info/survey.php

Hope this helps,
Spam_new_message.png
Spam new message
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rétrodiffusion : erreur mail delivery system

Message par Malekal_morte » 16 mars 2017 19:45

Un sujet sur les sites sur les erreurs de mails Mail delivery system : Erreur Mail delivery system
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités