Piratage boîte mail ?

[yoz]

Salut,

J'ai un collègue qui s'est fait pirater sa boîte mail (ouverture PJ), et qui a lui-même renvoyé à son insu le mail infecté à son carnet d'adresses.

Le problème est qu'un autre ami a reçu ce mail et a lui même cliqué sur la PJ (trop curieux), mais d'après lui rien ne s'est passé de particulier sur le PC (W10, Eset End Point)....

Analyse ESET et Malwarebytes Anti-Malware (MBAM) : RAS

Voici les logs FRST (mdp : gluten) :

FRST : https://pjjoint.malekal.com/files.php?i ... 4f5p5c12s6
Addition : https://pjjoint.malekal.com/files.php?i ... 1s147b11h7
Shortcut : https://pjjoint.malekal.com/files.php?i ... 13u13c9h15

Pour info, voici le code que j'ai trouvé dans la source du message infecté :

Code : Tout sélectionner

[cid:12448d37-0e43-4cb2-a640-afbeff68cf07]<http://forms.office.com/Pages/Re=
sponsePage.aspx?id=3DICXHB0XmeUaPVdxhHJdaAhnhiIIhhEtCl0I8CcESDrpUREQzSERDMU=
5ZVEY2TTVJQ1MwT1FYTVNaOS4u>

Merci d'avance pour votre aide pour savoir si la machine de mon ami est infecté et si oui quelle est le type d'infection par rapport au lien trouvé dans le corps du message.

Yoz

[Malekal_morte]

Salut,

Non à priori pas infecté.

[yoz]

Et le lien ? Ça ressemble à une tentative de phising sur un formulaire Office, à priori ça circule bien :

https://www.infosecpaul.beer/forms-micr ... g-attacks/
https://microsoftforms.uservoice.com/fo ... sing-forms
https://www.appriver.com/blog/phishing- ... e-surveys/