E-mails malicieux: fausses factures Darty / Intermarché /..

[Malekal_morte]

Dans la lignée des mails malicieux en français - nous sommes en période de fêtes, les achats par internet sont en hausses, les arnaques et autres tentatives malicieuses suivent. Soyez donc vigilants.

Le mail en question reprend ceux de l'enseigne Darty suite à un achat.


Un lien se trouve sur ce mail, bien entendu, c'est un malware :
http://www.bsmax.fr/Facture_Darty_KLAK7XXF236.zip


Si vous ouvrez, une confirmation d'achat "facture_darty.html" s'ouvre, histoire de faire vrai.



Le malware est relativement bien détecté :

SHA256: d191dcaf362029017ee7a61490fa3a20f87f2662390c4a3a4dc9e2f57378bdc2
Nom du fichier : Facture_KLAK7XXF236B4L5M7CM_AX800 Series 4K Ultra HD TV - 65 Clas...
Ratio de détection : 13 / 54
Date d'analyse : 2014-12-02 12:58:57 UTC (il y a 4 minutes)

Antiy-AVL Trojan/Win32.TSGeneric 20141202
Avira TR/Dropper.A.33605 20141202
ClamAV Win.Trojan.Agent-797347 20141202
Ikarus Trojan.Dropper 20141202
Jiangmin Heur:TrojanDropper.WinRar 20141201
K7AntiVirus Riskware ( 0040f0f51 ) 20141202
K7GW Riskware ( 0040f0f51 ) 20141202
McAfee Artemis!B9D2B1509DA3 20141202
McAfee-GW-Edition BehavesLike.Win32.BadFile.fh 20141202
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141202
Symantec WS.Reputation.1 20141202
TrendMicro-HouseCall Suspicious_GEN.F47V1129 20141202
Zillya Downloader.Psyme.Win32.8

Un script nommé "er.vbe" est exécuté silencieusement.





SHA256: d075c4c9e9ffcce32fb9cedd79dd1cfeec475450476e3717bc67dc671e6d9ddf
Nom du fichier : pdf.exe
Ratio de détection : 4 / 55
Date d'analyse : 2014-12-02 13:07:49 UTC (il y a 1 minute)

Avast Win32:Zbot-UMT [Trj] 20141202
ESET-NOD32 a variant of Win32/Injector.Autoit.BCW 20141202
SUPERAntiSpyware Trojan.Agent/Gen-Dropper 20141202
Symantec Bloodhound.Malautoit 20141202

Le mail a été envoyé depuis des machines françaises, certainement un hack.



L'exécutable Citadel a été mis à jour.

SHA256: d075c4c9e9ffcce32fb9cedd79dd1cfeec475450476e3717bc67dc671e6d9ddf
Nom du fichier : pdf.exe
Ratio de détection : 21 / 54
Date d'analyse : 2014-12-03 07:37:32 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2006424 20141203
AVG Autoit_c.BLIA 20141203
Ad-Aware Trojan.GenericKD.2006424 20141203
Avast Win32:Zbot-UMT [Trj] 20141203
Avira TR/Dorkbot.33617837 20141203
Baidu-International Trojan.Win32.Injector.bAutoit 20141202
BitDefender Trojan.GenericKD.2006424 20141203
Comodo UnclassifiedMalware 20141203
Cyren W32/GenBl.743992D6!Olympus 20141203
F-Secure Trojan.GenericKD.2006424 20141203
GData Trojan.GenericKD.2006424 20141203
Ikarus Trojan.Win32.Injector 20141203
McAfee Artemis!743992D6C681 20141203
McAfee-GW-Edition BehavesLike.Win32.Virus.tc 20141202
MicroWorld-eScan Trojan.GenericKD.2006424 20141203
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141203
SUPERAntiSpyware Trojan.Agent/Gen-Dropper 20141203
Sophos Troj/AutoIt-ASD 20141203
Symantec Bloodhound.Malautoit 20141203
TrendMicro-HouseCall TROJ_GEN.R02JH05L214 20141203
VIPRE Trojan.Win32.Generic!BT 20141203

[ѠOOT]

Bonjour,

Intrusions informatiques, escroqueries, usurpations, faux et usages de faux, vols d'identifiants et de données bancaires ( Zeus, Citadel, Atmos, ..) ces individus prospèrent depuis de trop nombreuses années déjà. À chaque fois, le même modus operandi : un courriel aux allures soignées se fait passer pour la commande d'une entreprise française ( Darty, E-Leclerc, Intermarché, RueDuCommerce, ObjetMania, LaPoste, Apple, Dell, etc ). Un lien cliquable vers "Télécharger votre facture" redirige la future victime vers un code malveillant.

Il s'agit d'une archive au format RAR auto-extractible (SFX) avec l'icône d'Adobe Acrobat Reader. Ces fichiers compressés sont habituellement extractibles depuis un logiciel tiers comme 7-Zip mais ici ça ne fonctionne pas. Et pour cause, l'auteur utilise une astuce ringarde et qui fonctionne : il modifie un byte dans le RAR ce qui fausse l'entête ( Header ) du format RAR. Le WINRAR.SFX étant prévu pour décompresser en tenant compte de la modification, l'extraction et l'exécution va fonctionner.



La page de la fausse commande du service Drive de la société française "Facture_379835397.intermarche.html" s'ouvre avec le navigateur par défaut de la victime. Ensuite, sera exécuté silencieusement le script VBS chargé de télécharger et d'exécuter un second code malveillant.



Il est à noter que sur les rapports [ malwr / hybrid-analysis ] : pas de téléchargement du binaire "dll.exe"

Le site du "Judo Club Solesmois" ( JUDO-CLUB-SOLESMOIS-59.FR ( 213.186.33.3 - SARL OVH ) héberge quantité de codes malveillants depuis des mois. La majorité des sites compromis sont des CMS Joomla!

judo-club-solesmois-59.fr/_judo-club-solesmois-59/bin/facture.exe ( D377154A071BB2D51524A86D67D66E51 )
judo-club-solesmois-59.fr/bin/ip.exe ( 3573AE2F0FC7906647C4D5AE40CCF5CE )
judo-club-solesmois-59.fr/bin/bot.exe ( 4716E1ECE995483A7218DF80BC8956D6 )
judo-club-solesmois-59.fr/bin/1.exe ( 021B8244A4CCD320CBB620B8C593FB86 )
judo-club-solesmois-59.fr/bin/4.exe ( B097CF9FB457B5139276A6BCD1C7E7C3 )
...

L'intrus effectue régulièrement des mises à jour du binaire :
judo-club-solesmois-59.fr/bin/dll.exe ( 86C4C35439FD5CFE3AFF15E8765E2050 )
judo-club-solesmois-59.fr/bin/dll.exe ( A0845980B0A08E642FB2876DB273744C )
judo-club-solesmois-59.fr/bin/dll.exe ( 6EB4A41C4E8750CFEC06E68D30A67279 )
...

Le dernier date de ce matin ( Last-Modified: Thu, 01 Sep 2016 06:21:46 GMT )
→ D3135E219628E317F90B20713C3643A9



Le PE utilise une librairie "Stub.dll" packé MPRESS v2.18 avec une configuration MnSplt ( similaire à Trojan.MulDrop6.42771 ) qui dépose et exécute "botBSMAX.exe" qui n'est autre que Atmos, un code malveillant spécialisé dans les vols d'identifiants et de données bancaires.

Et la gate d'Atmos est située une nouvelle fois sur BSMAX.FR ( 213.186.33.19 - SARL OVH )
→ http://bsmax.fr/misc/[email protected]/[email protected]//menu.php|menu=ie.xml

4FA976E848203139836E2238DA6AABFA sur AUTOREMBISZ.PL ( 46.242.145.95 - HOME.PL S.A. )
→ http://autorembisz.pl/css/js/javascritp/css/_css/file.php|file=us.xml


Liens internes:
→ ( décembre 2011 ) SPAM malicieux français (OVH) : de fausses factures installent Zbot/Zeus
↘ B18B3D08DB3E934C33771AC8B7C61A88AB01E1BF ( Trojan-Dropper.Win32.Aspxor.jf )
↘ C0C82F0EC1B07D9C61FFAC08839928A963BC6E32 ( Trojan-Dropper.Win32.Aspxor.jf )
↘ 17E2483B843EA96BCA84BB99104E4786C942B6F1 ( Trojan-Spy.Win32.Zbot.ebkp )
↘ C61AF6B46013E48E396A338F4B3EB0CD7757B346 ( Trojan-Spy.Win32.Zbot.edql )
↘ E5EBD61428DF4D730B464BA663B128D0E8790726 ( Trojan-Spy.Win32.Zbot.ejoe )
↘ AC2F6E18C165B16A61D176FA648601A9EB615652 ( Trojan-Spy.Win32.Zbot.gqzp )
↘ 8113900325F304371E2889E40B0F99953661F3AC ( Trojan-Spy.Win32.Zbot.eqol )
↘ C2899BF1944BF93280D4B24B97E5FEE99F9E5C58 ( Trojan.MSIL.Agent.nlt )
↘ D99578F5C147A4EDBDABEFCA6FE38332EA631CF0 ( Trojan-Spy.Win32.Zbot.frar )
↘ 08947F06974DCC971212BEBB9AF9D4900A14AB5A ( Trojan-Spy.Win32.Zbot.eqol )
↘ E822EAA5A1524935E562157D34CF2BC6279CF5E1 ( Trojan.Win32.Agent.aetui / Zbot )


→ ( février 2012 ) SPAM malicieux Darty : chevaux de Troie, portes dérobées, RAT, etc..
↘ 66721EDAFF9FA8EBF500B20DE96B439F9BC7C8B6 ( VBS/Kryptik.D )
↘ 8B775C5EE9EBA585C3411946797793B558CED59E ( Backdoor.MSIL.Ubot.b )
↘ A82EB1843FCD0303D2C2F1F935652894EC940F98 ( Trojan.Win32.Menti.mity )
↘ 50CEECCB21283A075DAD2B83D75D24EF54E55630 ( Worm:Win32/Ainslot.A )


Liens connexes:
→ https://www.fireeye.com/blog/threat-research/2014/07/the-little-signature-that-could-the-curious-case-of-cz-solution.html

[devadip]

slt
et ce club de judo est au courant qu'il héberge des codes malveillants?