78.47.198.134 héberge deux échantillons de Bruteres ( lire le billet de Renaud Tabary : Dridex + Bruteres ) ainsi que le kit permettant de piloter les campagnes des maliciels.
Interface du kit SPAMM PANEL
Exemples de fichiers attachés reçus par les futures victimes lors des campagnes
Les zip contiennent des JavaScript qui téléchargent depuis SOWHATSUPWITHITFF.COM
→ 192.3.186.222
→ 50.3.16.250
La charge actuellement diffusée est un rançongiciel chiffreur de fichiers. Il s'agit de TeslaCrypt avec extensions en .micro avec les habituels demande de rançons en "recover_file_*.txt" ; "HELP_RECOVER_instructions+*.txt" ; "HELP_RECOVER_instructions+*.png" ; "HELP_RECOVER_instructions+*.html" ... dont les adresses de "pages personnelles" sont en *.spannflow.com | *.javakale.at | *.evertmazic.com
Des CMS Joomla! compromis sont utilisés en guise de C2 ( mzsys.php )
( HNB.NET :: 222.165.133.242 )
http://hnb.net/templates/assets/email_tmpl/uploads/mzsys.php?Sub=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&inst_id=%X%X%X%X%X%X%X%X
( FIRECHEERLEADERS.FR :: 213.186.33.171 )
http://firecheerleaders.fr/modules/mod_cmscore/mzsys.php?Sub=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&inst_id=%X%X%X%X%X%X%X%X
( LADIESDEHAAN.BE :: 62.210.92.9 )
http://ladiesdehaan.be/modules/mod_cmscore/mzsys.php?Sub=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&inst_id=%X%X%X%X%X%X%X%X
( CHONBURICOOP.NET :: 27.254.96.151 )
http://chonburicoop.net/tmp/mzsys.php?Sub=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&inst_id=%X%X%X%X%X%X%X%X
( PASSLIFT.COM :: 217.116.196.239 )
http://passlift.com/templates/sj_icenter/html/mod_k2_content/Default/mzsys.php?Sub=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&inst_id=%X%X%X%X%X%X%X%X
Campagnes TeslaCrypt, Bruteres & SPAMM PANEL
botnet - distribution de rançongiciels avec double fastflux
Bonjour,
Une simple note. Parmi les URLs de téléchargements du rançongiciel TeslaCrypt actuellement diffusées par l'intermédiaire de pourriels avec pièce jointe au format ZIP dans lequel est stocké un fichier JavaScript offusqué se trouve l'utilisation d'un DNS configuré en double fastflux : WASHITALLAWAYFF.COM
Comme à l'habitude, les PE sont repackés au moins une fois par heure. Par exemple, 33 minutes se sont écoulées entre 6D0DF95901A51E1A7D6A2643A0D3D2AED56F71C2 & AD5E1F988F37718143203B2CCC232DA95EECC6BE : on comprends mieux les résultats lamentables des scans depuis VirusTotal dès réception du fichier.
Ci-dessous, une trace démonstrative des activités WASHITALLAWAYFF.COM
A noter que la baisse du volume global des messages électroniques permettant la diffusion de TeslaCrypt a entrainé la levée de l'alerte CERTFR-2015-ALE-015 qui était en place depuis décembre 2015.
Une simple note. Parmi les URLs de téléchargements du rançongiciel TeslaCrypt actuellement diffusées par l'intermédiaire de pourriels avec pièce jointe au format ZIP dans lequel est stocké un fichier JavaScript offusqué se trouve l'utilisation d'un DNS configuré en double fastflux : WASHITALLAWAYFF.COM
Comme à l'habitude, les PE sont repackés au moins une fois par heure. Par exemple, 33 minutes se sont écoulées entre 6D0DF95901A51E1A7D6A2643A0D3D2AED56F71C2 & AD5E1F988F37718143203B2CCC232DA95EECC6BE : on comprends mieux les résultats lamentables des scans depuis VirusTotal dès réception du fichier.
Ci-dessous, une trace démonstrative des activités WASHITALLAWAYFF.COM
Code : Tout sélectionner
------------------------------------------------------------------------------------------
>> TTL::133
5.143.154.100
31.129.113.245
37.57.28.153
50.83.33.15
91.193.149.79
107.15.99.91
109.200.246.123
176.102.202.30
188.241.131.14
213.231.7.185
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (46.201.140.41)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (77.121.132.130)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (78.85.201.86)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (80.252.245.98)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (93.76.124.194)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (93.120.250.188)
------------------------------------------------------------------------------------------
>> TTL::136
5.105.98.241
5.248.124.161
37.115.24.106
46.211.60.80
78.30.222.144
93.77.115.10
93.183.218.239
130.204.243.249
178.151.110.15
193.169.135.129
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at | 46.33.52.117)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at | 82.209.117.44)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at | 94.178.242.90)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at | 94.179.17.199)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at | 178.215.177.98)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at | 212.22.192.224)
------------------------------------------------------------------------------------------
>> TTL::139
5.166.207.194
5.248.2.179
31.47.179.11
31.134.39.52
37.115.24.106
46.172.219.246
113.252.180.39
119.247.218.165
178.18.99.23
193.169.134.215
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (46.119.89.198)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (78.158.212.252)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (151.0.6.102)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (176.113.167.103)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (178.54.138.41)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (178.150.211.36)
------------------------------------------------------------------------------------------
>> TTL::144
37.25.109.92
46.185.9.53
79.119.5.42
93.76.205.64
93.170.152.201
159.224.253.208
176.104.65.202
176.116.219.63
178.54.15.137
178.54.182.27
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (37.229.110.58)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (91.222.169.39)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (176.105.44.140)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (178.136.221.2)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (213.111.191.76)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (213.231.59.19)
------------------------------------------------------------------------------------------
>> TTL::145
5.13.158.178
5.228.106.212
37.25.114.125
46.172.207.145
78.137.21.8
86.120.89.24
89.42.87.41
178.165.36.80
188.26.224.93
213.111.188.73
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (37.55.102.126)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (37.122.79.196)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (117.0.32.190)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (121.182.77.149)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (159.224.163.241)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (178.54.251.36)
------------------------------------------------------------------------------------------
>> TTL::150
46.211.227.0
86.124.9.76
93.119.155.220
95.190.9.103
109.86.234.51
176.104.65.202
178.54.238.73
178.151.144.68
188.190.209.207
213.111.120.161
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (77.120.168.192)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (89.252.8.138)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (109.86.240.252)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (109.229.15.158)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (176.8.238.120)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (178.136.221.2)
------------------------------------------------------------------------------------------