iSpy Keylogger

Aujourd’hui cet email a attiré mon attention… j’en reçois d’habitude beaucoup mais aujourd’hui, nous sommes dimanche or les emails malicieux Locky / Dridex sont plutôt actifs en semaine, puisqu’ils visent plus particulièrement les entreprises.

iSpy Keylogger_email_malicieux

Le mail renferme un document Word… (si vous n’êtes pas au courant, il est possible d’infecter son ordinateur avec un document Office via les macros), à ce sujet, lire : Trojan Dridex – Mail malicieux Macro Office

SHA256:75f2689fbc33109a8cc95da69c093438f9facd525419d7a7ba7b41360b3f0ec0
File name:newfilez.doc
Detection ratio:11 / 56
Analysis date:2016-05-29 20:06:12 UTC ( 0 minutes ago )
AntivirusResultUpdate
AvastVBA:Downloader-AXL [Trj]20160529
Avira (no cloud)X2000M/Adnel.AE20160529
CyrenW97M/Downldr.AS.gen20160529
F-ProtW97M/Downldr.AS.gen20160529
FortinetWM/Agent.BKT!tr.dldr20160529
McAfeeW97M/Downloader20160529
McAfee-GW-EditionW97M/Downloader20160529
Qihoo-360heur.macro.download.r20160529
RisingMacro.Agent.be20160529
SophosTroj/DocDl-BKT20160529
TrendMicro-HouseCallW2KM_DRIDEX.SM520160529

La vidéo d’installation de ce stealer :

et oui le malware est à 0 sur VirusTotal…

Parmi les strings sympa du malware, on trouve :

Stealer_iSpy_Keylogger

Stealer_iSpy_Keylogger_2 Stealer_iSpy_Keylogger_3 Stealer_iSpy_Keylogger_4

Ce qui montre que ce dernier vole les mots de passes des navigateurs WEB, client FTP etc.
Envoie le tout par email, à des capacités de keylogger et énumérer les antivirus installés et éventuellement tenter d’arrêter le processus liés à ces derniers.

Les informations sont envoyés par email à l’adresse nlog1@theautogalery.com

Stealer_iSpy_Keylogger_mail_malicieux_3 Stealer_iSpy_Keylogger_mail_malicieux

Stealer_iSpy_Keylogger_mail_malicieux_2 Stealer_iSpy_Keylogger_mail_malicieux_3

et voici un exemple des emails obtenus par le pirate avec mon ordinateur :

Stealer_iSpy_Keylogger_mail_malicieux_5 Stealer_iSpy_Keylogger_mail_malicieux_4

Une fois les éléments volés, la clef de Démarrage est supprimé et le malware se supprime.
De ce fait, si l’antivirus n’a rien détecté, il y a de fortes chances que l’utilisateur ne sache pas qu’un keylogger et que des données ont été volés.
Cela laisse le temps au pirate d’agir.

EDIT – 24h après, quelques détections en Trojan.Injector :

SHA256:d7a3315f872243c28bd95fb75ed3b007821a2dea25f78afd8cbaaca1d853ef4f
File name:76yttt.exe
Detection ratio:8 / 57
Analysis date:2016-05-30 15:39:53 UTC ( 5 hours, 2 minutes ago )
AntivirusResultUpdate
CyrenW32/Cryptowall.A.gen!Eldorado20160530
F-ProtW32/Cryptowall.A.gen!Eldorado20160530
IkarusTrojan.Inject20160530
KasperskyUDS:DangerousObject.Multi.Generic20160530
MalwarebytesTrojan.Injector20160530
Qihoo-360Win32/Trojan.Multi.daf20160530
SymantecDownloader.Ponik20160530
TencentWin32.Trojan.Inject.Auto20160530

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 362 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *