[Zbot/Upatre] SPAM malicieux en français

Cette page regroupe quelques exemples de mails malicieux en français.
En effet, les internautes sont habitués depuis longtemps aux campagnes de mails malicieux anglophone mais petit à petit, les auteurs de malwares ciblent de mieux en mieux les internautes avec l’utilisation de mails en langue maternelle ou de services geolocalisés.

Reçu aujourd’hui – un mail avec une pièce jointe dans un français correct, ce qui est assez rare :zbot_spam_mail

sujet : votre demande – numéro

Corps du mail :

 

Monsieur / Madame,Nous avons bien recu votre mail nous demandant de ne pas donner suite a votre demanded’assurance du 22/11/2013 referencee en marge.De ce fait, nous procedons a l’annulation de cette derniere a sa date d’effet et vousprecisons que vous ne pourriez vous prevaloir d’aucune garantie.Pour plus de details s’il vous plait verifier fichier joint (dossier_1739896)Nous vous remercions de bien vouloir en prendre note.Vous pouvez telecharger gratuitement la derniere version du logiciel Acrobat Reader a partir du site d’Adobe a l’adresse suivante : http://www.adobe.fr/products/acrobat/readstep2.html
 

Ce dernier tente donc de se faire passer pour une assurance – Heureusement, le mail de l’expéditeur est assez mal fait, ce qui peut attirer l’attention.
La pièce jointe tente de se faire passer pour un PDF – L’icone PDF étant attaché au fichier.
Si l’on affiche pas les extensions de fichiers, pour voir que le fichier est un .exe – on peux se faire avoir.
Classique.

zbot_spam_mail6

Le Malware droppe divers fichiers avant de s’installer : %TEMP%/sorti.exezbot_spam_mail2 qui droppe le fichier %TEMP%/sort.exe pour enfin d’installer dans un sous-répertoire avec un nom aléatoire avec quelques lettres dont la première est en majuscule  – ex : /Epem/exkye.exe
Typique des stealer Zbot / Citadel.

zbot_spam_mail3 zbot_spam_mail4
Vous avez le rapport malwr disponible ici : https://malwr.com/analysis/MjIxMDk4MGFmZGQxNDk2YThhZjE3NDVjMTk2ZmQ0OGU/



Le malware se connecte au C&C : https://amazingfloorrestoration.com
ouais en HTTPs… déjà que les Malvertising l’utilisent http://www.malekal.com/2013/09/27/13323/ – mais vous inquiétez pas, le cadenas jaune c’est le top de la sécurité !

L’URL est bien connue puisqu’elle est utilisée dans d’autres campagnes de mails malicieux en anglais, qui d’ailleurs, poussent depuis quelques jours : http://blog.dynamoo.com/2013/11/you-received-voice-mail-spam.html

Côté détection, c’est la loose, puisqu’une seul détection sur Virustotal : http://malwaredb.malekal.com/index.php?hash=361e9dc3f930efe5532d97d30982e24c – https://www.virustotal.com/fr/file/c0c3f169de2e7f95f84a7ae717f2dd4824ce73169f650c70d192ebf34e8179cb/analysis/1385115765/

D’ailleurs, il s’est mis à jour chez moi – et la détection est toujours à 1 sur Virustotal :

http://malwaredb.malekal.com/index.php?hash=0d6d6cd1124a2ebb100c2c3626bd3ceb
https://www.virustotal.com/fr/file/4ee0efef5d9ee9fd08f0aa04ae40527d59990108deabb6bd2a08469582744677/analysis/

zbot_spam_mail5Malwarebyte’s Anti-Malware devrait ajouter une détection rapidement, si vous avez ouvert le fichier en question.
Faites un scan complet. Vous pouvez toujours venir sur le forum pour obtenir de l’aide : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Une fois la désinfection terminée, changez tous vos mots de passe WEB/Jeux (Mail, Facebook etc).

EDIT – 10 JAnvier

Nouvelle campagne : http://malwaredb.malekal.com/index.php?hash=0a910eca584e08c00413cc5ea9203b89

Avis_paiement_spam

Sujet :  Avis de Paiement

Le contenu du mail :

 

Bonjour Monsieur / Madame ,A votre demande, veuillez trouver ci joint le paiement e-conseils pour votre reference.CordialementHSBC FranceIMPORTANT : N’UTILISEZ PAS LA FONCTION « repondre a » ,
LAQUELLE NE NOUS PERMET PAS DE TRAITER VOTRE DEMANDE.Vous pouvez telecharger gratuitement la derniere version du logiciel Acrobat Reader a partir du site d’Adobe a l’adresse suivante :http://www.adobe.fr/products/acrobat/readstep2.htmlCe message et toutes les pieces jointes (ci-apres le « Message) sont confidentiels et etablis a l’intention exclusive de ses destinataires. Toute modification, edition, utilisation ou diffusion non autorisee est interdite. Si vous avez recu ce Message par erreur, merci de nous en avertir immediatement. HSBC et ses filiales declinent toute responsabilite au titre de ce Message s’il a ete altere, deforme, falsifie ou encore edite ou diffuse sans autorisation.

EDIT – 20 Avril 2014

Attention, une campagne qui se fait passer cette fois pour RueDueCommerce.

Le lien du mail conduit à un zip à l’adresse : http://www.applefactures.com/Facture_RueDuCommerce_Numoro_De_Commande_U6100484802.zip
Le zip contient le dropper du malware.

Avast! et DrWeb détecte déjà le sample : https://www.virustotal.com/fr/file/5b299e31538b9dc021f558b2c15fb03dd5f10e48b815f6c41a87cf0c06d78d21/analysis/1398785338/

SHA256:    5b299e31538b9dc021f558b2c15fb03dd5f10e48b815f6c41a87cf0c06d78d21
Nom du fichier :    Facture_RueDuCommerce_Numoro_De_Commande_U6100484802.exe
Ratio de détection :     2 / 52
Date d’analyse :     2014-04-29 15:28:58 UTC (il y a 1 minute) Voir les derniers

Antivirus     Résultat     Mise à jour
Avast     Win32:Malware-gen     20140429
DrWeb     Trojan.Click3.7555

rueducommerce_spam

EDIT – 8 Juillet RBC Secure WebMail / Courriel Sécure RBC

Attention une campagne Courriel Sécure RBC avec un mail en langue anglaise et française, la pièce jointe Clickview.zip est bien sûr malicieuse.

https://www.virustotal.com/fr/file/347a2c733bfdc8dd7b75f6784b06f45bed6eaadc1a0c20c641f94557f06b953a/analysis/1404852176/

SHA256:347a2c733bfdc8dd7b75f6784b06f45bed6eaadc1a0c20c641f94557f06b953a
Nom du fichier :Click2View.scr
Ratio de détection :4 / 52
Date d’analyse :2014-07-08 20:42:56 UTC (il y a 0 minute)

Comodo TrojWare.Win32.Injector.KXE 20140708
ESET-NOD32 a variant of Win32/Kryptik.CGEV 20140708
Malwarebytes Trojan.FakeMS.ED 20140708
Rising PE:Malware.FakePDF@CV!1.9C28 20140708

RBC_message_malware

EDIT – XRAT – OVH

Un mail se faisant passer pour Magicpc.fr avec une commande.
On demande d’ouvrir un fichier zip qui porte le nom w0rm77433.zip (sisi ….).

Magicpcfaux

Le fichier joint contient un VBS :
XRAT_Mail_FranceCe dernier va télécharger un binaire sur 176.31.228.6 (VPS OVH)

XRAT_Mail_France2

Le binaire est bien détecté : https://www.virustotal.com/fr/file/2f7722fdfe39bb56817ca78fda7cd1eaba9f415a8956db0a458178fcc11cd83f/analysis/1411502595/
Ce dernier fait un DNS sur  rap1215.servemp3.com résolu en 41.108.192.34

inetnum:        41.108.0.0 – 41.108.255.255
netname:        EA2
descr:          Easy région Alger
country:        DZ
admin-c:        SD6-AFRINIC
tech-c:         SD6-AFRINIC
status:         ASSIGNED PA
mnt-by:         DJAWEB-MNT
source:         AFRINIC # Filtered
parent:         41.96.0.0 – 41.111.255.255

En outre, un des RATs se connecte sur le même VPS 176.31.228.6 que précédent (port 1144).

XRAT_Mail_France3

 

 

EDIT – Novembre 2014  – mail malicieux Darty

Evoqué sur cette page : http://forum.malekal.com/mail-malicieux-darty-t50018.html

Mail malicieux Darty

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 153 times, 5 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *