Menu Fermer

Mail malveillant AXA et Colissimo : Trojan

Cela faisait longtemps que je n’avais pas fait un sujet sur des malwares.
Ce matin, un faux mail AXA pour des dossiers de sinistre :

Comme d’habitude, le mail contient une pièce jointe malveillante au format ZIP (fc12457844.zip).
Ce dernier contient un script malveillant VBE fc12457844.jse, tout à fait classique depuis plusieurs années : Virus par Email : Ce qu’il faut savoir pour les éviter

Les mails sont envoyés depuis une machine 82.165.137.21.

Received: from s20999542.onlinehome-server.info (82.165.137.21)
  by xxxx with SMTP; 19 Feb 2018 08:55:59 +0100
Received: from dev6 ([192.168.22.134])
	by s20999542.onlinehome-server.info (Microsoft SMTPSVC(6.0.3790.1830)) with SMTP id YFTADLCA
Reply-To: <[email protected]>
From:"AXA France" <[email protected]>

Le script VBE est assez classique… et se connecte à un serveur OVH (91.121.78.51) pour télécharger le cheval de troie et l’installer.
La persistance dans Windows se fait à travers une entrée Startup :

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\nt22.js
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\nt22.lnk

Windows Defender détecte le script malveillant en TrojanDropper:JS/Bixhif

Le cheval de troie communique avec ce même serveur OVH sur le port 551 : 91.121.78.51:551

Enfin, le binaire est positif à 14/67 sur VirusTotal : https://www.virustotal.com/#/file/268f1424ab842252a89d2464bef3858e22a75ca9a50137a0d12b4cefa14d56f6/detection

Si l’on cherche d’autres occurrences autour de ce serveur OVH, on constate que d’autres campagnes ont lieu ce jour ci.
Notamment, à travers apparemment de faux mails colissmo et l’utilisation d’une URL : http://colissim.fr/1234568/

colissim.fr has address 217.160.0.140 et a été enregistré avec une adresse free.fr :

domain: colissim.fr
status: ACTIVE
status: addPeriod
hold: NO
holder-c: GM16398-FRNIC
admin-c: GM16399-FRNIC
tech-c: UIS153-FRNIC
zone-c: NFC1-FRNIC
nsl-id: NSL109831-FRNIC
registrar: 1&1 Internet SE
Expiry Date: 19/02/2019
created: 19/02/2018
source: FRNIC

nic-hdl: GM16398-FRNIC
type: PERSON
contact: Georges Mirceski
address: Av du president wilson 7
address: 95260 BEAUMONT SUR OISE
country: FR
phone: +33.649810521
e-mail: [email protected]
registrar: 1&1 Internet SE
changed: 19/02/2018 [email protected]
anonymous: NO
obsoleted: NO
eligstatus: ok
eligdate: 19/02/2018 01:05:31
source: FRNIC

Des Tweets ont mentionné cette campagne, bien qu’il ne s’agisse pas d’un RAT Revenge au bout du compte :

 

Tout ceci fait penser à l’architecture des campagnes de JobCrypter & les activités carding de djamel au bled

Sinon un peu dans le même style de campagne de mail vérolé, vous avez aussi ce sujet : Faux mail Chronopost et virus