Les mails de phishing se faisant passer pour Chronopost commence à arriver.
Ils sont plus ou moins bien conçus menant parfois à du phishing classique pour récupérer des mots de passe.
Dans cet exemple, il s'agit d'un mail menant à un trojan RAT.
Table des matières
Faux mail Chronopost et virus
Vu passer un mail malicieux Chronopost, qui est d'ailleurs de plus en plus utilisé comme source de SPAM malveillant ou non.
Du pur classique qui pointe vers un VPS Français.
Le lien malveillant conduit à une adresse entre gov.php qui n'a rien à voir avec les services Chronopost :
et qui sans surprise mène à un exécutable malveillant : http://bwc.dole.gov.ph/abx/Chronopost-Colis.exe
bwc.dole.gov.ph has address 112.199.100.77 inetnum: 112.199.0.0 - 112.199.127.255 netname: ETPI descr: Eastern Telecom Philippines Inc. country: PH admin-c: RC536-AP
La détection VirusTotal de l'exécutable :
| SHA256: | ea3049624ea76ac35126a973df1a941ce67f1262af775a161a8be2f67dc7f9a5 |
| Nom du fichier : | Chronopost-Colis.exe |
| Ratio de détection : | 7 / 57 |
| Date d'analyse : | 2016-09-14 12:36:37 UTC (il y a 1 minute) |
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| CrowdStrike Falcon (ML) | malicious_confidence_96% (D) | 20160725 |
| Invincea | virus.win32.sality.at | 20160912 |
| Kaspersky | HEUR:Packed.NSIS.MyxaH.gen | 20160914 |
| McAfee-GW-Edition | BehavesLike.Win32.Ransom.dc | 20160914 |
| Qihoo-360 | HEUR/QVM42.0.0000.Malware.Gen | 20160914 |
| Rising | Malware.Heuristic!ET (rdm+) | 20160914 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Kovter | 20160914 |
Le mail est envoyé depuis une adresse [email protected] à partir d'une machine 185.81.157.168 (VPS - Inulogic Virtual Private Servers) :
Un malware qui va aller farfouiller dans les profils des navigateurs WEB pour voler des mots de passe WEB.
Le malware référence l'adresse resultip.ddns.net - encore un VPS chez Inulogic.
Quelques jours après.... :
Toujours d'actualité, avec toujours un VPS Inulogic : 185.81.157.217
L'attaquant utilise toujours TeamViewer.
Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT
Un autre mail similaire dont le malware se connecte aussi à un VPS Inulogic laissant passer qu'il s'agit du même acteur.
Comment éviter les virus par mail Chronopost
Enfin lorsque vous recevez un mail suivez les recommandations de mon article :
- Vérifiez l'adresse de l'expéditeur et notamment le domaine internet
- S'il y a un lien, vérifiez ce dernier et refusez les liens courts. A lire : Comment vérifier un lien internet
- Si un fichier est proposé en téléchargement, refusez et ne l'ouvrez pas. Pour les curieux, faites une analyse VirusTotal : VirusTotal : comment vérifier un fichier sur plusieurs antivirus