E-mails malicieux: fausses factures Darty / Intermarché /..

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 100295
Inscription : 10 sept. 2005 13:57
Contact :

E-mails malicieux: fausses factures Darty / Intermarché /..

Message par Malekal_morte »

Dans la lignée des mails malicieux en français - nous sommes en période de fêtes, les achats par internet sont en hausses, les arnaques et autres tentatives malicieuses suivent. Soyez donc vigilants.

Le mail en question reprend ceux de l'enseigne Darty suite à un achat.
Image

Un lien se trouve sur ce mail, bien entendu, c'est un malware :
http://www.bsmax.fr/Facture_Darty_KLAK7XXF236.zip
Image

Si vous ouvrez, une confirmation d'achat "facture_darty.html" s'ouvre, histoire de faire vrai.

Image

Le malware est relativement bien détecté :

SHA256: d191dcaf362029017ee7a61490fa3a20f87f2662390c4a3a4dc9e2f57378bdc2
Nom du fichier : Facture_KLAK7XXF236B4L5M7CM_AX800 Series 4K Ultra HD TV - 65 Clas...
Ratio de détection : 13 / 54
Date d'analyse : 2014-12-02 12:58:57 UTC (il y a 4 minutes)

Antiy-AVL Trojan/Win32.TSGeneric 20141202
Avira TR/Dropper.A.33605 20141202
ClamAV Win.Trojan.Agent-797347 20141202
Ikarus Trojan.Dropper 20141202
Jiangmin Heur:TrojanDropper.WinRar 20141201
K7AntiVirus Riskware ( 0040f0f51 ) 20141202
K7GW Riskware ( 0040f0f51 ) 20141202
McAfee Artemis!B9D2B1509DA3 20141202
McAfee-GW-Edition BehavesLike.Win32.BadFile.fh 20141202
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141202
Symantec WS.Reputation.1 20141202
TrendMicro-HouseCall Suspicious_GEN.F47V1129 20141202
Zillya Downloader.Psyme.Win32.8


Un script nommé "er.vbe" est exécuté silencieusement.

Image

Image

SHA256: d075c4c9e9ffcce32fb9cedd79dd1cfeec475450476e3717bc67dc671e6d9ddf
Nom du fichier : pdf.exe
Ratio de détection : 4 / 55
Date d'analyse : 2014-12-02 13:07:49 UTC (il y a 1 minute)

Avast Win32:Zbot-UMT [Trj] 20141202
ESET-NOD32 a variant of Win32/Injector.Autoit.BCW 20141202
SUPERAntiSpyware Trojan.Agent/Gen-Dropper 20141202
Symantec Bloodhound.Malautoit 20141202


Le mail a été envoyé depuis des machines françaises, certainement un hack.

Image

L'exécutable Citadel a été mis à jour.

SHA256: d075c4c9e9ffcce32fb9cedd79dd1cfeec475450476e3717bc67dc671e6d9ddf
Nom du fichier : pdf.exe
Ratio de détection : 21 / 54
Date d'analyse : 2014-12-03 07:37:32 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2006424 20141203
AVG Autoit_c.BLIA 20141203
Ad-Aware Trojan.GenericKD.2006424 20141203
Avast Win32:Zbot-UMT [Trj] 20141203
Avira TR/Dorkbot.33617837 20141203
Baidu-International Trojan.Win32.Injector.bAutoit 20141202
BitDefender Trojan.GenericKD.2006424 20141203
Comodo UnclassifiedMalware 20141203
Cyren W32/GenBl.743992D6!Olympus 20141203
F-Secure Trojan.GenericKD.2006424 20141203
GData Trojan.GenericKD.2006424 20141203
Ikarus Trojan.Win32.Injector 20141203
McAfee Artemis!743992D6C681 20141203
McAfee-GW-Edition BehavesLike.Win32.Virus.tc 20141202
MicroWorld-eScan Trojan.GenericKD.2006424 20141203
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141203
SUPERAntiSpyware Trojan.Agent/Gen-Dropper 20141203
Sophos Troj/AutoIt-ASD 20141203
Symantec Bloodhound.Malautoit 20141203
TrendMicro-HouseCall TROJ_GEN.R02JH05L214 20141203
VIPRE Trojan.Win32.Generic!BT 20141203
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: Mail malicieux Drive Intermarché

Message par ѠOOT »

Bonjour,

Intrusions informatiques, escroqueries, usurpations, faux et usages de faux, vols d'identifiants et de données bancaires ( Zeus, Citadel, Atmos, ..) ces individus prospèrent depuis de trop nombreuses années déjà. À chaque fois, le même modus operandi : un courriel aux allures soignées se fait passer pour la commande d'une entreprise française ( Darty, E-Leclerc, Intermarché, RueDuCommerce, ObjetMania, LaPoste, Apple, Dell, etc ). Un lien cliquable vers "Télécharger votre facture" redirige la future victime vers un code malveillant.

Il s'agit d'une archive au format RAR auto-extractible (SFX) avec l'icône d'Adobe Acrobat Reader. Ces fichiers compressés sont habituellement extractibles depuis un logiciel tiers comme 7-Zip mais ici ça ne fonctionne pas. Et pour cause, l'auteur utilise une astuce ringarde et qui fonctionne : il modifie un byte dans le RAR ce qui fausse l'entête ( Header ) du format RAR. Le WINRAR.SFX étant prévu pour décompresser en tenant compte de la modification, l'extraction et l'exécution va fonctionner.

Image

La page de la fausse commande du service Drive de la société française "Facture_379835397.intermarche.html" s'ouvre avec le navigateur par défaut de la victime. Ensuite, sera exécuté silencieusement le script VBS chargé de télécharger et d'exécuter un second code malveillant.

Image

Il est à noter que sur les rapports [ malwr / hybrid-analysis ] : pas de téléchargement du binaire "dll.exe"

Le site du "Judo Club Solesmois" ( JUDO-CLUB-SOLESMOIS-59.FR ( 213.186.33.3 - SARL OVH ) héberge quantité de codes malveillants depuis des mois. La majorité des sites compromis sont des CMS Joomla!

judo-club-solesmois-59.fr/_judo-club-solesmois-59/bin/facture.exe ( D377154A071BB2D51524A86D67D66E51 )
judo-club-solesmois-59.fr/bin/ip.exe ( 3573AE2F0FC7906647C4D5AE40CCF5CE )
judo-club-solesmois-59.fr/bin/bot.exe ( 4716E1ECE995483A7218DF80BC8956D6 )
judo-club-solesmois-59.fr/bin/1.exe ( 021B8244A4CCD320CBB620B8C593FB86 )
judo-club-solesmois-59.fr/bin/4.exe ( B097CF9FB457B5139276A6BCD1C7E7C3 )
...


L'intrus effectue régulièrement des mises à jour du binaire :
judo-club-solesmois-59.fr/bin/dll.exe ( 86C4C35439FD5CFE3AFF15E8765E2050 )
judo-club-solesmois-59.fr/bin/dll.exe ( A0845980B0A08E642FB2876DB273744C )
judo-club-solesmois-59.fr/bin/dll.exe ( 6EB4A41C4E8750CFEC06E68D30A67279 )
...

Le dernier date de ce matin ( Last-Modified: Thu, 01 Sep 2016 06:21:46 GMT )
D3135E219628E317F90B20713C3643A9

Image

Le PE utilise une librairie "Stub.dll" packé MPRESS v2.18 avec une configuration MnSplt ( similaire à Trojan.MulDrop6.42771 ) qui dépose et exécute "botBSMAX.exe" qui n'est autre que Atmos, un code malveillant spécialisé dans les vols d'identifiants et de données bancaires.

Et la gate d'Atmos est située une nouvelle fois sur BSMAX.FR ( 213.186.33.19 - SARL OVH )
→ http://bsmax.fr/misc/[email protected]/[email protected]//menu.php|menu=ie.xml

4FA976E848203139836E2238DA6AABFA sur AUTOREMBISZ.PL ( 46.242.145.95 - HOME.PL S.A. )
→ http://autorembisz.pl/css/js/javascritp/css/_css/file.php|file=us.xml


Liens internes:
→ ( décembre 2011 ) SPAM malicieux français (OVH) : de fausses factures installent Zbot/Zeus
B18B3D08DB3E934C33771AC8B7C61A88AB01E1BF ( Trojan-Dropper.Win32.Aspxor.jf )
C0C82F0EC1B07D9C61FFAC08839928A963BC6E32 ( Trojan-Dropper.Win32.Aspxor.jf )
17E2483B843EA96BCA84BB99104E4786C942B6F1 ( Trojan-Spy.Win32.Zbot.ebkp )
C61AF6B46013E48E396A338F4B3EB0CD7757B346 ( Trojan-Spy.Win32.Zbot.edql )
E5EBD61428DF4D730B464BA663B128D0E8790726 ( Trojan-Spy.Win32.Zbot.ejoe )
AC2F6E18C165B16A61D176FA648601A9EB615652 ( Trojan-Spy.Win32.Zbot.gqzp )
8113900325F304371E2889E40B0F99953661F3AC ( Trojan-Spy.Win32.Zbot.eqol )
C2899BF1944BF93280D4B24B97E5FEE99F9E5C58 ( Trojan.MSIL.Agent.nlt )
D99578F5C147A4EDBDABEFCA6FE38332EA631CF0 ( Trojan-Spy.Win32.Zbot.frar )
08947F06974DCC971212BEBB9AF9D4900A14AB5A ( Trojan-Spy.Win32.Zbot.eqol )
E822EAA5A1524935E562157D34CF2BC6279CF5E1 ( Trojan.Win32.Agent.aetui / Zbot )


→ ( février 2012 ) SPAM malicieux Darty : chevaux de Troie, portes dérobées, RAT, etc..
66721EDAFF9FA8EBF500B20DE96B439F9BC7C8B6 ( VBS/Kryptik.D )
8B775C5EE9EBA585C3411946797793B558CED59E ( Backdoor.MSIL.Ubot.b )
A82EB1843FCD0303D2C2F1F935652894EC940F98 ( Trojan.Win32.Menti.mity )
50CEECCB21283A075DAD2B83D75D24EF54E55630 ( Worm:Win32/Ainslot.A )


Liens connexes:
https://www.fireeye.com/blog/threat-res ... ution.html
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 842
Inscription : 25 févr. 2008 20:01

Re: Mail malicieux Darty / Intermarché

Message par devadip »

slt
et ce club de judo est au courant qu'il héberge des codes malveillants?

Répondre

Revenir à « Actualité & News Informatique »