XtremeRat : campagne de mails en français (Crédit mutuel)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 110964
Inscription : 10 sept. 2005 13:57

XtremeRat : campagne de mails en français (Crédit mutuel)

par Malekal_morte »

J'avais déjà prévénu que Les emails malicieux étaient de plus en plus être en langue française : Les mails malicieux ne sont plus seulement en anglais.

Une campagne qui se fait passé pour le Crédit mutuel :
Image



Le zip en question :
Image

qui contient un binaire : https://www.virustotal.com/fr/file/afce ... 431365185/
SHA256: afcedf632fac99f82bf3aed6d08ba788f0f94d17348cf251aca08edf94fa4e90
Nom du fichier : M37001569.exe
Ratio de détection : 4 / 57
Date d'analyse : 2015-05-11 17:26:25 UTC (il y a 0 minute)

Avast Win32:Dropper-gen [Drp] 20150511
Avira TR/XtremeRAT.A.516 20150511
Kaspersky Backdoor.Win32.Xtreme.atej 20150511
Sophos Troj/MSIL-CVC 20150511
Les Rats (Remote Access Tool) sont une catégorie de malwares qui permettent de contrôler le PC à distance et souvent incorpore des fonctionnalités de keylogger.

Le fichier créé :
HKLM\...\Run: [cpirs] => C:\Documents and Settings\Mak\Local Settings\Temp\QSDQSQXSQSXDDFVDFV.exe [467129 2015-05-11] (Acoustica, Inc) <===== ATTENTION
HKU\S-1-5-21-823518204-725345543-786100373-1003\...\Run: [cpiisr] => C:\Documents and Settings\Mak\Local Settings\Temp\QSDQSQXSQSXDDFVDFV.exe [467129 2015-05-11] (Acoustica, Inc) <===== ATTENTION
Ce dernier semble se connecter à l'adresse WEB

Code : Tout sélectionner

http://minouuudsqaz.myvnc.com:12471/1234567890.functions

minouuudsqaz.myvnc.com has address 105.106.75.181

inetnum:        105.96.0.0 - 105.111.255.255
netname:        TA23-new
descr:          Telecom Algeria
country:        DZ
org:            ORG-TA23-AFRINIC
admin-c:        DN2-AFRINIC
tech-c:         SD6-AFRINIC
status:         ALLOCATED PA
mnt-by:         AFRINIC-HM-MNT
mnt-lower:      DJAWEB-MNT
mnt-domains:    DJAWEB-MNT
source:         AFRINIC # Filtered
parent:         105.0.0.0 - 105.255.255.255
Merci à Laetitia pour l'information.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ѠOOT

Re: XtremeRat ( 105.106.75.181 & 217.160.110.134 )

par ѠOOT »

Bonjour,

Quelques détails additionnels.

# S18227501.DOMAINEPARDEFAUT.FR ( 217.160.110.110:80/TCP )
(URI) http://s18227501.domainepardefaut.fr/jass

# S18233380.DOMAINEPARDEFAUT.FR ( 217.160.110.117:80/TCP )
(302) http://s18233380.domainepardefaut.fr/pen/
(302) http://s18233380.domainepardefaut.fr/pen/%HASH_MD5%
(200) http://s18233380.domainepardefaut.fr/zen/M37001569.zip

HTTP/1.1 200 OK
Date: Mon, 11 May 2015 23:06:57 GMT
Server: Apache
Last-Modified: Mon, 11 May 2015 19:45:55 GMT
Accept-Ranges: bytes
Content-Length: 229177
X-Powered-By: PleskLin
MS-Author-Via: DAV
Connection: close
Content-Type: application/zip


Archive: M37001569.zip
Date: 10/05/2015 22:59:08
Taille: 766464
Compressé: 229017
CRC: 6dc76b89


Fichier: M37001569.exe
CPU: 32-bit
Poids: 766 464
SubSystem: Windows GUI
Type: Portable Executable
Nom interne: HYJUKII.exe
Description: GOL
Version: 4.0.0.0
Creation time: 11/05/2015 à 23:10:45
Access time: 11/05/2015 à 23:10:45
Modification Time: 10/05/2015 à 20:59:08
MD5: 6565610B431E5A08A8622A15FE80B701
SHA1: 6C2600D38D108F6EF253C4BCD757DFE221A66A0E


.property class uint8[] _1 {
.get uint8[] SDFSDFSD.My.Resources.Resources::get__1()
}


La ressource "_1" est encodée en base64.

Code : Tout sélectionner

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAA8AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFt
IGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAAANc9B8SRK+
EBASvi9JEr4vJg20L0ISvi/KDrAvSBK+LyYNui9LEr4vHw2tL0MSvi8rDa0v
ThK+L0kSvy8JEr4vjhS4L0gSvi9/NLUvSxK+L1JpY2h...
Décodé, c'est un programme 32 bits qui tente d'imiter l'installeur Mixcraft v6.0.1.217, un logiciel musical de la société Acoustica Inc. L'exécution va décoder et charger la librairie Stub.dll compressée MPRESS v2.18 ; un anti-débogage ( recherche si module SbieDll chargé ) est présent. Le programme dénommé "octopus.exe" qui l'accompagne est quant à lui décompressé à 58.24% par UPX v3.0.7 : il s'agit bien d'XtremeRAT v3.5.

Configuration de l'attaquant:
ActiveX Key: {X4FCU8D7-H352-410L-7JAG-0J1624L2IM5C}
Domain1 : minouuudsqaz.myvnc.com:12471
Domain2 : hamza1215dszz.ddns.net:25698
Domain3 : hamozaaaa1.gotdns.ch:10457
Domain4 : 217.160.110.134:12457
Group : Servers
HKCU : cpiisr
HKLM : cpirs
ID : Server
Injection : Notepad.exe
Install Dir: InstallDir
Install Name : Server.exe
Msg Box Text : An unexpected error occurred when starting the program.
Msg Box Title : Error
Mutex : GheUo9S
Version : 3.5 Private


⌚ 11-05-2015 : XtremeRAT : {C2} [ 80/TCP & 10457/TCP & 12457/TCP & 25698/TCP ]
\. HAMOZAAAA1.GOTDNS.CH ( 217.160.110.134 )
\. HAMZA1215DSZZ.DDNS.NET ( 217.160.110.134 )
\. MINOUUUDSQAZ.MYVNC.COM ( 105.106.75.181 )


edit changements d'IPs ( 10457/TCP & 25698/TCP actifs )
\. HAMOZAAAA1.GOTDNS.CH ( 87.106.89.123 )
\. HAMZA1215DSZZ.DDNS.NET ( 87.106.89.123 )
Dernière modification par ѠOOT le 21 mai 2015 17:39, modifié 1 fois.
Malekal_morte
Messages : 110964
Inscription : 10 sept. 2005 13:57

Re: XtremeRat ( 105.106.75.181 & 217.160.110.134 )

par Malekal_morte »

ѠOOT a écrit :Bonjour,
⌚ 11-05-2015 : XtremeRAT : {C2} [ 80/TCP & 10457/TCP & 12457/TCP & 25698/TCP ]
\. HAMOZAAAA1.GOTDNS.CH ( 217.160.110.134 )
\. HAMZA1215DSZZ.DDNS.NET ( 217.160.110.134 )
\. MINOUUUDSQAZ.MYVNC.COM ( 105.106.75.181 )
Merci ѠOOT pour le complément, hier j'ai notifié l'abuse de no-ip / 1&1 pour la première adresse, je leur ai fait parvenir les suivantes PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »