Pièce jointe avec script Malveillant

[Badiuth]

Bonjour à tous,

Un membre de ma famille a reçu un mail qui semblait légitime au premier abord (mail à l'entête de sa société), elle a donc cliqué sur la pièce jointe avant de se rendre compte de son erreur (un fichier html contenant un script).
Elle m'a donc demandé de l'aide, je précise qu'elle est sur Mac et je sais que ce n'est pas votre spécialité, mais ça n'a pas d'importance pour la question que je souhaite poser.
J'ai fait une recherche de virus sur son poste plus quelques actions de base, mais rien de concluant du tout (pas d'évidence d'infection).
Ma question : Si je vous copie/colle le script qui est dans le corps du fichier html (il est très court), est-ce que l'un de vous pourrait me renseigner sur l'effet de ce dernier ?
Cela me permettrait de connaitre sa dangerosité, de chercher et éventuellement de corriger les dégâts qui auraient pu être commis.
Merci de votre retour
Bad.

[Parisien_entraide]

Bonjour

Effectivement sauf un utilisateur qui passerait par là avec quelques connaissances, le Mac n'est pas la spécialité du forum :-)
Par contre si le mail reçu est à l'en tête de la sté, c'est que celle ci est ciblée

Idéalement c'est le message avec les en-tetes au complet qu'il serait intéressant de récupérer ET la pj surtout

[angelique]

(un fichier html contenant un script).

Transmet le contenu

[Badiuth]

Bonjour,

Merci de votre réponse à tous les deux, voici le code contenu dans le fichier joint :

---edit---

Visiblement le code est bien pourri, le forum ne l'accepte pas même en le mettant entre balises "code" et me retourne une erreur 403, alors j'ai triché en remplaçant les '"< >" par des "[ ]", je pense que le code reste compréhensible ainsi et comme je l'avais précisé, il n'est pas très long.


EDIT - Modo j'ai retiré le code.

Pour ce qui est des entêtes de message d'origine, il faudra que je me reconnecte à son ordi pour les récupérer (elle est en province).
Je devrais pouvoir le faire dans la journée.
Merci de votre aide.

[angelique]

alors j'ai triché en remplaçant les '"< >" par des "[ ]"

Faudrait héberger le fichier .html histoire de voir ce que ça ouvre dans un navigateur, je vais pas remplacer tes [] par <>

[Badiuth]

Faudrait héberger le fichier .html histoire de voir ce que ça ouvre dans un navigateur, je vais pas remplacer tes [] par <>

Comment le faire en toute sécurité ?


J'ai hébergé le fichier avec le code non modifié : http://www.badiuth.net/sandbox/script_malveillant.html

À vos risques et périls.
Encore merci

Merci de me prévenir quand il n'est plus nécessaire de le conserver en ligne, que je ne laisse pas trainer un truc pareil.

[angelique]

Système Linux Mint XFCE, J'ai une page blanche sous chromium sans extension malgré que le code source soit affiché, le navigateur a pas l'air d'interpréter quoique ce soit

[Badiuth]

Merci de ton retour !
C'est à la fois une bonne nouvelle et une interrogation dans la mesure où je pense que les gars ne s'amusent pas à balancer des trucs inutiles dans la nature.
Je suis un peu perplexe j'avoue.
Bad.

[Malekal_morte]

Le fichier HTML contacte cette URL : hxxps://gscontabeis.com.br/host22/admin/js/mf.php?id=vdRSH
mais 404, le contenu malveillant a été retiré.

[Parisien_entraide]

Idem sous Firefox vierge de tout en sandbox
Idem via l'analyse Kaspersky (ou sans puisqu'il fait du mitm)

Idem via divers sites d'analyse de page html
mais cela me dit ausssi qu'il y a un LNK/Agent.CH trojan (détection heuristique) dans le code mais n'y a rien qui est ramené car il y a une erreu 404 (le site final au Brésil, n'est pas/plus actif)

Edit : Bon ben Malekal a récup le lien, mais en fait c'est la même chose
J'avais cela aussi http://www.litespeedtech.com/error-page (et on voit que c'est pour la crypto)

https://www.hybrid-analysis.com/sample/ ... 804a614c59

Et pour l'autre lien

2023-09-12_170723.png

[Badiuth]

Bonjour et merci à tous les trois pour ces réponses précises et documentées.
Je comprends, maintenant le comportement que ma sœur m'a décrit "quand j'ai cliqué sur la pièce jointe, une page blanche c'est ouverte et c'est aussitôt fermée".
Donc plus de peur que de mal, et ça lui servira de leçon à l'avenir.
Je supprime le script de mon serveur.
Vous pouvez passer le sujet en résolu.
Encore merci pour votre aide précieuse.
Bad.

[Parisien_entraide]

Cela manque de détails dans le post initial, mais recevoir un mail à l'en tete de la sté cela veut dire que celle ci est ciblée
Il y a peut etre une fuite d'adresse email (compromise)
https://www.malekal.com/haveibeenpwned- ... -de-passe/

Il ne faut pas oublier que les utilisateurs Mac sont également ciblés par les stealers, dont avec le MetaStealer par ex où il est dit

""Les opérateurs de logiciels malveillants se font passer pour des clients et utilisent des techniques d'ingénierie sociale pour tenter d'inciter la victime à lancer une charge utile malveillante.

Les autres stealers connus sont : MacStealer, Pureland , Atomic Stealer et RealStealer ( alias Realst)

https://www.malekal.com/trojan-stealer/


Edit :
Ex : viewtopic.php?p=544040#p544040

[Badiuth]

Hello,

Merci pour ce complément d'information, qui m'intéresse aussi.
Bonne journée
Bad.