Home
Windows
Virus, Trojan, Adwares, Keylogger etc
Faux mail Chronopost et virus
Articles récents, Windows, Virus, Trojan, Adwares, Keylogger etc

Faux mail Chronopost et virus

3 ans ago

Vu passer un mail malicieux Chronopost, qui est d’ailleurs de plus en plus utilisé comme source de SPAM malicieux ou non.
Du pur classique qui pointe vers un VPS Français.

logo_chronopost

Le mail :

mail_malicieux_chronopost

avec un lien malicieux :

mail_malicieux_chronopost_2

et qui sans surprise mène à un exécutable malicieux : http://bwc.dole.gov.ph/abx/Chronopost-Colis.exe

mail_malicieux_chronopost_4

 

bwc.dole.gov.ph has address 112.199.100.77

inetnum: 112.199.0.0 - 112.199.127.255
netname: ETPI
descr: Eastern Telecom Philippines Inc.
country: PH
admin-c: RC536-AP

La détection VirusTotal de l’exécutable :

 

SHA256:ea3049624ea76ac35126a973df1a941ce67f1262af775a161a8be2f67dc7f9a5
Nom du fichier :Chronopost-Colis.exe
Ratio de détection :7 / 57
Date d’analyse :2016-09-14 12:36:37 UTC (il y a 1 minute)
AntivirusRésultatMise à jour
CrowdStrike Falcon (ML)malicious_confidence_96% (D)20160725
Invinceavirus.win32.sality.at20160912
KasperskyHEUR:Packed.NSIS.MyxaH.gen20160914
McAfee-GW-EditionBehavesLike.Win32.Ransom.dc20160914
Qihoo-360HEUR/QVM42.0.0000.Malware.Gen20160914
RisingMalware.Heuristic!ET (rdm+)20160914
SUPERAntiSpywareTrojan.Agent/Gen-Kovter20160914

Le mail est envoyé depuis une adresse ysy@free.fr à partir d’une machine 185.81.157.168 (VPS – Inulogic Virtual Private Servers) :

mail_malicieux_chronopost_3

Un malware qui va aller farfouiller dans les profils des navigateurs WEB pour voler des mots de passe WEB.

malware_stealer

Le malware référence l’adresse resultip.ddns.net – encore un VPS chez Inulogic.

malware_stealer_2

resultip.ddns.net has address 185.81.157.243


inetnum: 185.81.157.0 - 185.81.157.255
netname: INU-VPS01
descr: Inulogic Virtual Private Servers
country: FR
admin-c: GR8035-RIPE

Le serveur ne tournait pas au moment du test.

Il s’agit d’un RAT (Remote Tools Access) et plus précisément de  Netwire RAT, un descriptif par Xylitol est disponible sur cette page : http://www.xylibox.com/2012/07/netwire-first-multi-platform-rat.html

EDIT – 23/11/2016

Toujours d’actualité,  avec toujours un VPS Inulogic : 185.81.157.217
L’attaquant utilise toujours TeamViewer.
rat_trojan_chronopost

 

image_pdfimage_print
(Visité 340 fois, 1 visites ce jour)

Demander de l'aide sur le forum

Partager l'article

Tags:, ,

Articles Similaires

4 Comments

  1. ysy 28 septembre 2016

    Bonjour,

    L’email en question est le mien, un que je n’utilise pas depuis un moment. Je viens de voir la liste de personne spammé. Le petit malin se sert d’un serveur smtp en utilisant mon email comme expéditeur. Le corps du message donne ceci en expéditeur :
    Received: from mout-xforward.kundenserver.de (mout-xforward.kundenserver.de [82.165.159.5])
    by vbuml1.vocation-backup.com (Postfix) with ESMTPS id 1F40C4BB8D
    for ; Wed, 14 Sep 2016 11:04:49 +0200 (CEST)
    Received: from free.Fr ([185.81.157.168]) by mrelayeu.kundenserver.de
    (mreue004) with ESMTPSA (Nemesis) id 0LnX58-1b65YL45Ve-00heBY for

    Traceroute :
    8: be4204.ccr21.par04.atlas.cogentco.com 1.767ms asymm 9
    9: be2677.rcr21.b022890-0.par04.atlas.cogentco.com 2.882ms asymm 10
    10: inulogic.demarc.cogentco.com 3.264ms asymm 11

  2. ysy 28 septembre 2016

    MESSAGE POSTE A fr-support@cogentco.com et eu-support@cogentco.com

    Bonjour,

    Un de vos clients se sert d’un serveur hébergé dans un de vos datacenters
    pour spammer un nombre incalculable de personnes. Il se sert d’un email
    ysy@free.fr pour cette opération. Cet email est utilisé dans un certain cadre
    et ne peux continuer de servir à des fins de piratages.

    Je vous remercie de bien vouloir enquêter, identifier cette personne et de
    mettre fin à ces agissements.

    http://www.malekal.com/faux-mail-chronopost-et-virus/#comment-32749

    Si le problème persiste, les agences nationales compétentes listées à l’url
    infra seront saisies de ce problème et procéderont à l’enquêtes.
    http://www.ssi.gouv.fr/en-cas-dincident/

    Merci de me tenir informé des suites données et du résultats de vos
    recherches.

    – IP concerné : 185.81.157.168
    – Traceroute :
    8: be4204.ccr21.par04.atlas.cogentco.com 1.767ms asymm 9
    9: be2677.rcr21.b022890-0.par04.atlas.cogentco.com 2.882ms asymm 10
    10: inulogic.demarc.cogentco.com 3.264ms asymm 11

    Entête de message :

    Bonjour,

    Un de vos clients se sert d’un serveur hébergé dans un de vos datacenters
    pour spammer un nombre incalculable de personnes. Il se sert d’un email
    ysy@free.fr pour cette opération. Cet email est utilisé dans un certain cadre
    et ne peux continuer de servir à des fins de piratages.

    Je vous remercie de bien vouloir enquêter, identifier cette personne et de
    mettre fin à ces agissements.

    http://www.malekal.com/faux-mail-chronopost-et-virus/#comment-32749

    Si le problème persiste, les agences nationales compétentes listées à l’url
    infra seront saisies de ce problème et procéderont à l’enquêtes.
    http://www.ssi.gouv.fr/en-cas-dincident/

    Merci de me tenir informé des suites données et du résultats de vos
    recherches

    – IP concerné : 185.81.157.168
    – Traceroute :
    8: be4204.ccr21.par04.atlas.cogentco.com 1.767ms asymm 9
    9: be2677.rcr21.b022890-0.par04.atlas.cogentco.com 2.882ms asymm 10
    10: inulogic.demarc.cogentco.com 3.264ms asymm 11

    Cordialement,

  3. ysy 28 septembre 2016

    C’est bon, j’ai envoyé un email au responsable du serveur. Je vous informerai de la résolution de ce problème (sans entrer dans les détails).

  4. malekalmorte 29 septembre 2016

    Hello ysy,

    yes, il faut contacter l’abuse de kundenserver.de (hostmaster_at_1und1.de ou abuse_at_1und1.de et mettre éventuellement celui de 1&1 en copie)… en espérant qu’ils se bougent..

    bon courage !