Pour revenir un peu du côté des malwares avec une campagne de mail malveillante Colissimo.
Rien de bien extraordinaire mais c’est le moment de faire des rappels.
Ce n’est d’ailleurs pas la première fois que ce type de campagne est utilisé, en effet par le passé deux articles avaient été publiés :
Table des matières
Campagne de mail malveillantes Colissimo (Trojan.Tiggre)
La campagne de faux mails Colissimo
Contrairement à l’article précédent, cette campagne de mail malveillante est relativement bien faites comme le montre cette capture d’écran.
Premièrement parce que l’adresse de l’expéditeur est en colissimo.fr
Ensuite parce qu’il n’y a pas de fautes et la présentation est très propre avec les bon logos Colissimo et la Poste.
Il y a de forte chance que ce soit un mail original qui a été repris, n’ayant pas utilisant ce service depuis longtemps, je ne peux pas confirmer.
Le mail vous invite à télécharger la facture avec un fichier facture.zip hébergé sur un site en Roumanie.
Les utilisateurs qui font un peu attention verront que le lien est bizarre ou suspicieux.
De plus, les mails de ce type ne font généralement pas télécharger de contenu et encore moins de type facture qui requiert souvent la connexion dans un espace privé.
Le site Roumain, un CRM Sugar, a été piraté pour l’occasion afin d’héberger le fichier malveillant.
Le fichier zip contient un exécutable avec une icône type document, histoire de faire plus vrai.
Pour une fois, on a pas droit à la double extension pour tromper l’utilisateur : Les extensions de fichiers et la sécurité
Les propriétés de l’exe indique qu’il s’agit d’un setup de type Invoicer
Une soumission à VirusTotal du fichier donne une assez bonne détection avec beaucoup de détection générique.
Le Trojan
Microsoft, sur VirusTotal, détecte en PUA:Win32/Presenoker alors qu’en réalité, il s’agit d’un Trojan, une détection en réel sur Windows Defender donne une détection Trojan:Win32/Tiggre.
Il semblerait qu’il s’agisse de Trojan.Tinukebot.
Le cheval de troie installe tor pour communiquer avec les serveurs de contrôle et recevoir les ordres ou envoyer des informations.
Enfin le Trojan se charge au démarrage de Windows à partir d’une clé RUN et d’un raccourci dans les startup.
Tout ce qu’il y a plus classique en somme avec ce type de menaces.
Si vous avez ouvert le fichier facture
Pour infecter votre ordinateur, il faut avoir télécharger le fichier zip et exécuté (double-cliquer) sur le fichier facture qui se trouve à l’intérieur.
Cliquez sur le lien du mail ou télécharger le zip SANS exécuter le fichier facture n’infecte pas votre ordinateur.
En cas de doute, suspicion ou pour désinfecter votre ordinateur :
Pour toutes questions ou aide personnalisée, c’est sur le forum : Se connecter au forum d’entraide malekal.com
En second lieu, vous devez changer tous vos mots de passe WEB qui ont été récupérés par les cybercriminels.
Vos comptes internet et en ligne sont potentiellement piratable.