Mail avec lien frauduleux [résolu]

[yoz]

Bonjour,

J'ai une amie qui a reçu un mail piégé d'un contact légitime, et elle a cliqué sur une image en forme de logo PDF.

A priori ça a ouvert une image (signature de l'expéditeur), puis rien d'autre.

Après analyse du mail, le lien pointait vers ce site : https://spark.adobe.com/page/Fz8XaaUuYtMhF/

Eset n'a rien vu pour l'instant.

Voici les logs FRST :

- FRST : https://pjjoint.malekal.com/files.php?i ... 9o5z9s8p13
- Addition : https://pjjoint.malekal.com/files.php?i ... t6j15j7q15
- Shortcuts : https://pjjoint.malekal.com/files.php?i ... 4s12z15l15

Je peux transmettre le mail en MP si besoin.

Merci d'avance pour votre aide

Yoz

[Malekal_morte]

Salut,

Rapport OK.
Tout semble correct.

[yoz]

Merci Mak

Et le lien il dit quoi ? Je n'ai pas de VM sous la main pour vérifier.

Nécessaire de passer MBAM en plus à ton avis ?

Merci !

[Malekal_morte]

Ca se demande à se loguer pour accéder à un document sur Adobe Document Cloud, comme je n'ai pas les identifiants, je ne peux pas accéder à ce dernier.
A priori pas besoin de faire un MBAM, d'autant que NOD32 ne détecte rien ?

[yoz]

Ok. J'ai vérifié depuis un Android, le 1er lien renvoie vers un autre lien, qui demande à s'identifier avec outlook, office365, ou autre.... :

https://ibmbucket394.s3.jp-osa.cloud-object-storage.appdomain.cloud/unlingering/index.html

Ca semble fait pour voler des identifiants non ?

[Malekal_morte]

Possible que ce soit du phishing / hameçonnage
Ca envoie les identifiants saisies vers https://ses-smtp.com/email-list/onedrive25/finish.php
Ca ne semble pas officiel.
Je vais le signaler.

[yoz]

https://www.virustotal.com/gui/url/3202 ... a3/details

La page a déjà été scannée. Elle a été crée hier à priori.

Merci !

[devadip]

SmartScreen détecte les 2 URL comme frauduleux

[Malekal_morte]

yes phishing donc =)

[yoz]

Il y a Eset Endpoint sur la machine, Smartscreen est-il désactivé du coup sur le contrôle des URL ?

Car mon amie me dit ne pas avoir eu de fenêtre de blocage, ni de Eset ni de Smartscreen.

Le navigateur ne s'est pas ouvert non plus, ça lui a juste affiché une image, qu'elle a refermé tout de suite.....

C'est bizarre quand même, impossible de savoir ce qu'il s'est passé sur son poste. Le site Adobe Document Cloud ne s'est pas ouvert. Pouvait-il y avoir une autre charge dissimulée dans ce mail ?

[Parisien_entraide]

Bonsoir,

A l'origine ce n'était pas détecté comme malfaisant (trop récent) maintenant ça l est, donc les alertes apparaissent

Le simple fait de soumettre à https://www.virustotal.com/gui/url/3202 ... a3/details
peut aider puisque les logiciels de protection s'y alimentent (on voit que ESET le considère comme phishing)

Perso en testant je n'ai pu accéder jusque là puisque maintenant c'est en erreur

Error>
<Code>AccessDenied</Code>
<Message>Access Denied</Message>
<Resource>/ibmbucket394/unlingering/index.html</Resource>
<RequestId>48d9fc5f-a7aa-4a72-a3ca-4437edf98e60</RequestId>
<httpStatusCode>403</httpStatusCode>
</Error>

Quant au mail je ne sais pas avec quoi elle ouvre ses mails, mais on peut avec les clients mails voir les en tete longs et le contenu au format texte (en général c'est du html)

[devadip]

Il y a Eset Endpoint sur la machine, Smartscreen est-il désactivé du coup sur le contrôle des URL ?

Car mon amie me dit ne pas avoir eu de fenêtre de blocage, ni de Eset ni de Smartscreen.

Le navigateur ne s'est pas ouvert non plus, ça lui a juste affiché une image, qu'elle a refermé tout de suite.....

Comme tu as ESET, Windows defender (et donc smartscreen) ne fonctionne pas (pas de protection en temps réel).
normalement, smartscreens ne fonctionne qu'avec edge et comme tu utilises Firefox, y aurait pas eu de détection (j'ai testé avec edge et opera) sauf si tu as l'application Windows guard (Elle porte un autre nom mais j'ai pas mon pc sous la main )