Campagne de mail malveillant Colissimo (Trojan.Tiggre)

Pour revenir un peu du côté des malwares avec une campagne de mail malveillante Colissimo.
Rien de bien extraordinaire mais c’est le moment de faire des rappels.
Ce n’est d’ailleurs pas la première fois que ce type de campagne est utilisé, en effet par le passé deux articles avaient été publiés :

Campagne de mail malveillantes Collissimo (Trojan.Tiggre)

Campagne de mail malveillantes Colissimo (Trojan.Tiggre)

La campagne de faux mails Colissimo

Contrairement à l’article précédent, cette campagne de mail malveillante est relativement bien faites comme le montre cette capture d’écran.
Premièrement parce que l’adresse de l’expéditeur est en colissimo.fr
Ensuite parce qu’il n’y a pas de fautes et la présentation est très propre avec les bon logos Colissimo et la Poste.
Il y a de forte chance que ce soit un mail original qui a été repris, n’ayant pas utilisant ce service depuis longtemps, je ne peux pas confirmer.

Campagne de mail malveillantes Collissimo (Trojan.Tiggre)Campagne de mail malveillantes Collissimo (Trojan.Tiggre)

Le mail vous invite à télécharger la facture avec un fichier facture.zip hébergé sur un site en Roumanie.
Les utilisateurs qui font un peu attention verront que le lien est bizarre ou suspicieux.
De plus, les mails de ce type ne font généralement pas télécharger de contenu et encore moins de type facture qui requiert souvent la connexion dans un espace privé.
Le site Roumain, un CRM Sugar, a été piraté pour l’occasion afin d’héberger le fichier malveillant.

Campagne de mail malveillantes Collissimo (Trojan.Tiggre)Le fichier zip contient un exécutable avec une icône type document, histoire de faire plus vrai.
Pour une fois, on a pas droit à la double extension pour tromper l’utilisateur : Les extensions de fichiers et la sécurité
Les propriétés de l’exe indique qu’il s’agit d’un setup de type Invoicer

Campagne de mail malveillantes Collissimo (Trojan.Tiggre)Une soumission à VirusTotal du fichier donne une assez bonne détection avec beaucoup de détection générique.

Campagne de mail malveillantes Collissimo (Trojan.Tiggre)

Le Trojan

Microsoft, sur VirusTotal, détecte en PUA:Win32/Presenoker alors qu’en réalité, il s’agit d’un Trojan, une détection en réel sur Windows Defender donne une détection Trojan:Win32/Tiggre.
Il semblerait qu’il s’agisse de Trojan.Tinukebot.

Campagne de mail malveillantes Collissimo (Trojan.Tiggre)Le cheval de troie installe tor pour communiquer avec les serveurs de contrôle et recevoir les ordres ou envoyer des informations.
Campagne de mail malveillantes Collissimo (Trojan.Tiggre)

Enfin le Trojan se charge au démarrage de Windows à partir d’une clé RUN et d’un raccourci dans les startup.
Tout ce qu’il y a plus classique en somme avec ce type de menaces.
Campagne de mail malveillantes Collissimo (Trojan.Tiggre)

Si vous avez ouvert le fichier facture

Pour infecter votre ordinateur, il faut avoir télécharger le fichier zip et exécuté (double-cliquer) sur le fichier facture qui se trouve à l’intérieur.
Cliquez sur le lien du mail ou télécharger le zip SANS exécuter le fichier facture n’infecte pas votre ordinateur.

En cas de doute, suspicion ou pour désinfecter votre ordinateur :

Pour toutes questions ou aide personnalisée, c’est sur le forum : Se connecter au forum d’entraide malekal.com

En second lieu, vous devez changer tous vos mots de passe WEB qui ont été récupérés par les cybercriminels.
Vos comptes internet et en ligne sont potentiellement piratable.

image_pdfimage_print
(Visité 461 fois, 1 visites ce jour)