Faux mail Chronopost et virus

Les mails de phishing se faisant passer pour Chronopost commence à arriver.
Ils sont plus ou moins bien conçus menant parfois à du phishing classique pour récupérer des mots de passe.
Dans cet exemple, il s'agit d'un mail menant à un trojan RAT.

Faux mail Chronopost et virus

Faux mail Chronopost et virus

Vu passer un mail malicieux Chronopost, qui est d'ailleurs de plus en plus utilisé comme source de SPAM malveillant ou non.
Du pur classique qui pointe vers un VPS Français.

Phishing Chronopost menant à un Trojan RAT

Le lien malveillant conduit à une adresse entre gov.php qui n'a rien à voir avec les services Chronopost :

Phishing Chronopost menant à un Trojan RAT

et qui sans surprise mène à un exécutable malveillant : http://bwc.dole.gov.ph/abx/Chronopost-Colis.exe

Mail Chronopost menant à un malware Chronopost-colis.exe
bwc.dole.gov.ph has address 112.199.100.77

inetnum: 112.199.0.0 - 112.199.127.255
netname: ETPI
descr: Eastern Telecom Philippines Inc.
country: PH
admin-c: RC536-AP

La détection VirusTotal de l'exécutable :

SHA256:ea3049624ea76ac35126a973df1a941ce67f1262af775a161a8be2f67dc7f9a5
Nom du fichier :Chronopost-Colis.exe
Ratio de détection :7 / 57
Date d'analyse :2016-09-14 12:36:37 UTC (il y a 1 minute)
AntivirusRésultatMise à jour
CrowdStrike Falcon (ML)malicious_confidence_96% (D)20160725
Invinceavirus.win32.sality.at20160912
KasperskyHEUR:Packed.NSIS.MyxaH.gen20160914
McAfee-GW-EditionBehavesLike.Win32.Ransom.dc20160914
Qihoo-360HEUR/QVM42.0.0000.Malware.Gen20160914
RisingMalware.Heuristic!ET (rdm+)20160914
SUPERAntiSpywareTrojan.Agent/Gen-Kovter20160914

Le mail est envoyé depuis une adresse [email protected] à partir d'une machine 185.81.157.168 (VPS - Inulogic Virtual Private Servers) :

mail_malicieux_chronopost_3

Un malware qui va aller farfouiller dans les profils des navigateurs WEB pour voler des mots de passe WEB.

Trojan Malware Stealer

Le malware référence l'adresse resultip.ddns.net - encore un VPS chez Inulogic.

Trojan Malware Stealer

Quelques jours après.... :

Toujours d'actualité,  avec toujours un VPS Inulogic : 185.81.157.217
L'attaquant utilise toujours TeamViewer.

Trojan RAT par mail chronopost

Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT

Un autre mail similaire dont le malware se connecte aussi à un VPS Inulogic laissant passer qu'il s'agit du même acteur.

Comment éviter les virus par mail Chronopost

Enfin lorsque vous recevez un mail suivez les recommandations de mon article :