iSpy Keylogger

Aujourd’hui cet email a attiré mon attention… j’en reçois d’habitude beaucoup mais aujourd’hui, nous sommes dimanche or les emails malicieux Locky / Dridex sont plutôt actifs en semaine, puisqu’ils visent plus particulièrement les entreprises.

iSpy Keylogger_email_malicieux

Le mail renferme un document Word… (si vous n’êtes pas au courant, il est possible d’infecter son ordinateur avec un document Office via les macros), à ce sujet, lire : Trojan Dridex – Mail malicieux Macro Office

SHA256: 75f2689fbc33109a8cc95da69c093438f9facd525419d7a7ba7b41360b3f0ec0
File name: newfilez.doc
Detection ratio: 11 / 56
Analysis date: 2016-05-29 20:06:12 UTC ( 0 minutes ago )
Antivirus Result Update
Avast VBA:Downloader-AXL [Trj] 20160529
Avira (no cloud) X2000M/Adnel.AE 20160529
Cyren W97M/Downldr.AS.gen 20160529
F-Prot W97M/Downldr.AS.gen 20160529
Fortinet WM/Agent.BKT!tr.dldr 20160529
McAfee W97M/Downloader 20160529
McAfee-GW-Edition W97M/Downloader 20160529
Qihoo-360 heur.macro.download.r 20160529
Rising Macro.Agent.be 20160529
Sophos Troj/DocDl-BKT 20160529
TrendMicro-HouseCall W2KM_DRIDEX.SM5 20160529

La vidéo d’installation de ce stealer :

et oui le malware est à 0 sur VirusTotal…

Parmi les strings sympa du malware, on trouve :

Stealer_iSpy_Keylogger

Stealer_iSpy_Keylogger_2 Stealer_iSpy_Keylogger_3 Stealer_iSpy_Keylogger_4

Ce qui montre que ce dernier vole les mots de passes des navigateurs WEB, client FTP etc.
Envoie le tout par email, à des capacités de keylogger et énumérer les antivirus installés et éventuellement tenter d’arrêter le processus liés à ces derniers.

Les informations sont envoyés par email à l’adresse nlog1@theautogalery.com

Stealer_iSpy_Keylogger_mail_malicieux_3 Stealer_iSpy_Keylogger_mail_malicieux

Stealer_iSpy_Keylogger_mail_malicieux_2 Stealer_iSpy_Keylogger_mail_malicieux_3

et voici un exemple des emails obtenus par le pirate avec mon ordinateur :

Stealer_iSpy_Keylogger_mail_malicieux_5 Stealer_iSpy_Keylogger_mail_malicieux_4

Une fois les éléments volés, la clef de Démarrage est supprimé et le malware se supprime.
De ce fait, si l’antivirus n’a rien détecté, il y a de fortes chances que l’utilisateur ne sache pas qu’un keylogger et que des données ont été volés.
Cela laisse le temps au pirate d’agir.

EDIT – 24h après, quelques détections en Trojan.Injector :

SHA256: d7a3315f872243c28bd95fb75ed3b007821a2dea25f78afd8cbaaca1d853ef4f
File name: 76yttt.exe
Detection ratio: 8 / 57
Analysis date: 2016-05-30 15:39:53 UTC ( 5 hours, 2 minutes ago )
Antivirus Result Update
Cyren W32/Cryptowall.A.gen!Eldorado 20160530
F-Prot W32/Cryptowall.A.gen!Eldorado 20160530
Ikarus Trojan.Inject 20160530
Kaspersky UDS:DangerousObject.Multi.Generic 20160530
Malwarebytes Trojan.Injector 20160530
Qihoo-360 Win32/Trojan.Multi.daf 20160530
Symantec Downloader.Ponik 20160530
Tencent Win32.Trojan.Inject.Auto 20160530
(Visité 595 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Le phishing / hameçonnageLe phishing / hameçonnage

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com