Campagnes TeslaCrypt, Bruteres & SPAMM PANEL

ѠOOT

Campagnes TeslaCrypt, Bruteres & SPAMM PANEL

par ѠOOT »

78.47.198.134 héberge deux échantillons de Bruteres ( lire le billet de Renaud Tabary : Dridex + Bruteres ) ainsi que le kit permettant de piloter les campagnes des maliciels.

Interface du kit SPAMM PANEL
Image

Exemples de fichiers attachés reçus par les futures victimes lors des campagnes
Image

Les zip contiennent des JavaScript qui téléchargent depuis SOWHATSUPWITHITFF.COM
192.3.186.222
50.3.16.250

La charge actuellement diffusée est un rançongiciel chiffreur de fichiers. Il s'agit de TeslaCrypt avec extensions en .micro avec les habituels demande de rançons en "recover_file_*.txt" ; "HELP_RECOVER_instructions+*.txt" ; "HELP_RECOVER_instructions+*.png" ; "HELP_RECOVER_instructions+*.html" ... dont les adresses de "pages personnelles" sont en *.spannflow.com | *.javakale.at | *.evertmazic.com

Des CMS Joomla! compromis sont utilisés en guise de C2 ( mzsys.php )

( HNB.NET :: 222.165.133.242 )
http://hnb.net/templates/assets/email_tmpl/uploads/mzsys.php?Sub=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&inst_id=%X%X%X%X%X%X%X%X

( FIRECHEERLEADERS.FR :: 213.186.33.171 )
http://firecheerleaders.fr/modules/mod_cmscore/mzsys.php?Sub=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&inst_id=%X%X%X%X%X%X%X%X

( LADIESDEHAAN.BE :: 62.210.92.9 )
http://ladiesdehaan.be/modules/mod_cmscore/mzsys.php?Sub=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&inst_id=%X%X%X%X%X%X%X%X

( CHONBURICOOP.NET :: 27.254.96.151 )
http://chonburicoop.net/tmp/mzsys.php?Sub=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&inst_id=%X%X%X%X%X%X%X%X

( PASSLIFT.COM :: 217.116.196.239 )
http://passlift.com/templates/sj_icenter/html/mod_k2_content/Default/mzsys.php?Sub=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&inst_id=%X%X%X%X%X%X%X%X
ѠOOT

botnet - distribution de rançongiciels avec double fastflux

par ѠOOT »

Bonjour,

Une simple note. Parmi les URLs de téléchargements du rançongiciel TeslaCrypt actuellement diffusées par l'intermédiaire de pourriels avec pièce jointe au format ZIP dans lequel est stocké un fichier JavaScript offusqué se trouve l'utilisation d'un DNS configuré en double fastflux : WASHITALLAWAYFF.COM

Comme à l'habitude, les PE sont repackés au moins une fois par heure. Par exemple, 33 minutes se sont écoulées entre 6D0DF95901A51E1A7D6A2643A0D3D2AED56F71C2 & AD5E1F988F37718143203B2CCC232DA95EECC6BE : on comprends mieux les résultats lamentables des scans depuis VirusTotal dès réception du fichier.

Ci-dessous, une trace démonstrative des activités WASHITALLAWAYFF.COM

Code : Tout sélectionner

------------------------------------------------------------------------------------------

>> TTL::133
5.143.154.100
31.129.113.245
37.57.28.153
50.83.33.15
91.193.149.79
107.15.99.91
109.200.246.123
176.102.202.30
188.241.131.14
213.231.7.185

ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (46.201.140.41)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (77.121.132.130)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (78.85.201.86)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (80.252.245.98)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (93.76.124.194)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (93.120.250.188)

------------------------------------------------------------------------------------------

>> TTL::136
5.105.98.241
5.248.124.161
37.115.24.106
46.211.60.80
78.30.222.144
93.77.115.10
93.183.218.239
130.204.243.249
178.151.110.15
193.169.135.129

ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at | 46.33.52.117)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at | 82.209.117.44)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at | 94.178.242.90)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at | 94.179.17.199)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at | 178.215.177.98)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at | 212.22.192.224)

------------------------------------------------------------------------------------------

>> TTL::139
5.166.207.194
5.248.2.179
31.47.179.11
31.134.39.52
37.115.24.106
46.172.219.246
113.252.180.39
119.247.218.165
178.18.99.23
193.169.134.215

ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (46.119.89.198)	
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (78.158.212.252)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (151.0.6.102)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (176.113.167.103)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (178.54.138.41)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (178.150.211.36)

------------------------------------------------------------------------------------------

>> TTL::144
37.25.109.92
46.185.9.53
79.119.5.42
93.76.205.64
93.170.152.201
159.224.253.208
176.104.65.202
176.116.219.63
178.54.15.137
178.54.182.27

ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (37.229.110.58)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (91.222.169.39)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (176.105.44.140)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (178.136.221.2)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (213.111.191.76)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (213.231.59.19)

------------------------------------------------------------------------------------------

>> TTL::145
5.13.158.178
5.228.106.212
37.25.114.125
46.172.207.145
78.137.21.8
86.120.89.24
89.42.87.41
178.165.36.80
188.26.224.93
213.111.188.73

ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (37.55.102.126)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (37.122.79.196)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (117.0.32.190)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (121.182.77.149)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (159.224.163.241)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (178.54.251.36)

------------------------------------------------------------------------------------------

>> TTL::150
46.211.227.0
86.124.9.76
93.119.155.220
95.190.9.103
109.86.234.51
176.104.65.202
178.54.238.73
178.151.144.68
188.190.209.207
213.111.120.161

ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (77.120.168.192)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (89.252.8.138)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (109.86.240.252)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (109.229.15.158)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (176.8.238.120)
ns2.vatriokl.at | ns4.vatriokl.at | ns1.vatriokl.at | ns3.vatriokl.at (178.136.221.2)

------------------------------------------------------------------------------------------
A noter que la baisse du volume global des messages électroniques permettant la diffusion de TeslaCrypt a entrainé la levée de l'alerte CERTFR-2015-ALE-015 qui était en place depuis décembre 2015.

Revenir à « Tech, Tips & Tricks »