RATs @ Free via Facebook

Ce WE, j’ai reçu ce contact – je remercie la personne pour les informations échangées :

Darkcomet_Facebook9
Les RATs (Remote Access Tool) se propagent sur Facebook via de fausses vidéos :

Darkcomet_Facebook4
Le lien est bien sûr un exécutable qui installe le malware dans le système.
Ces derniers sont hostés sur demo.ovh.com :

Darkcomet_Facebook4

Les deux RATs pointent sur des adresses Free.

Darkcomet_Facebook5

Après avoir contacté l’abuse, NO-IP a fait du ménage :

Darkcomet_Facebook10

Du coup, un nouveau dropper a été mis en ligne :

Darkcomet_Facebook2

Cette fois-ci, plus de NO-IP mais un domaine civispacemparabellum.com :

Domain Name: CIVISPACEMPARABELLUM.COM
Registrar: INTERNET.BS CORP.
Whois Server: whois.internet.bs
Referral URL: http://www.internet.bs
Name Server: NS-CANADA.TOPDNS.COM
Name Server: NS-UK.TOPDNS.COM
Name Server: NS-USA.TOPDNS.COM
Status: clientTransferProhibited
Updated Date: 05-jan-2013
Creation Date: 12-jan-2012
Expiration Date: 12-jan-2014

Administrative Contact
Fundacion Private Whois
Domain Administrator
Email:gpdsu5n4f85267929836@t02cduv4f7f99a255f64.privatewhois.net
Attn: civispacemparabellum.com
Aptds. 0850-00056
Zona 15 Panama
Panama
Tel: +507.65995877

Les adresses en question pointaient aussi sur des adresses Free sauf que le domaine est maintenant DOWN :

Domain Name: CIVISPACEMPARABELLUM.COM
Registrar: INTERNET.BS CORP.
Whois Server: whois.internet.bs
Referral URL: http://www.internet.bs
Name Server: NS1.PARKINGCREW.NET
Name Server: NS2.PARKINGCREW.NET
Status: clientTransferProhibited
Updated Date: 18-jun-2013
Creation Date: 12-jan-2012
Expiration Date: 12-jan-2014

Administrative Contact
Suspended by Registrar
Suspended Domain
Email:suspended.domain@topdns.com
98 Hampshire Street
Suspended domain
4892 Nassau
Bahamas
Tel: +1.23456789

black.civispacemparabellum.com has address 62.116.143.10
darkz.civispacemparabellum.com has address 62.116.143.10

Darkcomet_Facebook7

Darkcomet_Facebook6
Le RAT balancé sur Facebook pointe systématiquement vers des adresses « drakz » (c’est le nom que le gars se donne sur Facebook).
Une fois installé, quelques minutes plus tard, un second RAT est téléchargé et executé ce dernier est hébergé toujours chez demo.ovh.com – ces derniers pointent vers les adresses « adrif ».
Darkcomet_Facebook11

A noter que l’on trouve un  serveur HTTP sur  l’adresse black.civispacemparabellum.com.
L’adresse pointaientt sur une Dedibox (IP : 88.191.161.128). Celle-ci est toujours en ligne.
Certains RATs pointent aussi sur cette adresse port 3080 mais le serveur RATS semble down.

Darkcomet_Facebook8

Le contact m’a parlé d’un botnet de 3000 PC utilisés pour des attaques DoS.
Mais aussi de carding.
Ce serait ce que prétendent les propriétaires du botnet.

Difficile de juger de la crédibilité de ces dires, de ce que l’on voit sur Facebook, on a plutôt affaire à la fusion d’un ado pseudo racaille avec un hackeur kikolol.

Darkcomet_FacebookQuand on voit que ce dernier publie une vidéo de ses méfaits (70 PCs ce qui est assez ridicule …) : https://www.facebook.com/photo.php?v=133989800139997

Une plus récente – apparemment il a senti le vent tourner : https://www.facebook.com/video/video.php?v=133989800139997&saved

Darkcomet_Facebook12 Darkcomet_Facebook13

Ceci illustre bien la page : RATs Botnet pour les nuls.
Le gars qui va chercher ses packers FUD pour balancer son dropper RAT mal détecté et mettre à jour chaque jour pour ne pas se faire rattraper par les antivirus.

En tout cas, j’ai notifié l’abuse de Proxad avec toutes ces informations.
Espérons qu’ils se bougent.

EDIT 22 Juin

Encore quelques vidéos qui ont été mis en ligne ces derniers jours, la détection est en général de 2 @ VT mais les antivirus sont relativements rapides à ajouter des détections sur les fichiers :

RAT_Facebook RAT_Facebook2
RAT_Facebook3
RAT_Facebook4
Plus pas mal d’autres .exe qui ont été fait télécharger, toujours sur demo.ovh.com :

RAT_Facebook5
On retrouve le même schéma avec des RATs qui vont sur la connexoion Perso Free et un nouveau domaine sivispacemparabellum.com (chez GoDaddy) qui pointe sur la même Dédibox.

RAT_Facebook6

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 288 times, 1 visits today)

7 thoughts on “RATs @ Free via Facebook

  1. A se demander que fait la police… car il y a juste à marquer son pseudonyme « Darkz » sur google pour y trouver des vidéos où il se moque librement d’eux!! Derrière cette personne ridicule se cache un véritable bandit qui génère de milliers d’euros en humiliant des internautes, c’est outrant.

  2. Moi j’y crois pas à 3.000 Bots de connectés… Y a juste à regardé qu’il à que 70 victimes, c’est vraiment honteux mdr.
    Je suis d’accord avec toi Le Roux, c’est un sacré loustique celui la, j’espère que la police va faire quelque chose quelqu’un de son espèce…

  3. voui.

    Arghue, le domaine é kapoute

    malekalmorte@MaK-tux:~$ host black.sivispacemparabellum.com && host adrif.sivispacemparabellum.com
    black.sivispacemparabellum.com has address 50.63.202.71
    adrif.sivispacemparabellum.com has address 50.63.202.71

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *