Mail malveillant AXA et Colissimo : Trojan

malekalmorte

Date création :

19 février 2018

Dernière modification :

Cela faisait longtemps que je n’avais pas fait un sujet sur des malwares.
Ce matin, un faux mail AXA pour des dossiers de sinistre :

Comme d’habitude, le mail contient une pièce jointe malveillante au format ZIP (fc12457844.zip).
Ce dernier contient un script malveillant VBE fc12457844.jse, tout à fait classique depuis plusieurs années : Virus par Email : Ce qu’il faut savoir pour les éviter

Les mails sont envoyés depuis une machine 82.165.137.21.

Received: from s20999542.onlinehome-server.info (82.165.137.21)
  by xxxx with SMTP; 19 Feb 2018 08:55:59 +0100
Received: from dev6 ([192.168.22.134])
	by s20999542.onlinehome-server.info (Microsoft SMTPSVC(6.0.3790.1830)) with SMTP id YFTADLCA
Reply-To: <[email protected]>
From:"AXA France" <[email protected]>

Le script VBE est assez classique… et se connecte à un serveur OVH (91.121.78.51) pour télécharger le cheval de troie et l’installer.
La persistance dans Windows se fait à travers une entrée Startup :

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\nt22.js
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\nt22.lnk

Windows Defender détecte le script malveillant en TrojanDropper:JS/Bixhif

Le cheval de troie communique avec ce même serveur OVH sur le port 551 : 91.121.78.51:551

Enfin, le binaire est positif à 14/67 sur VirusTotal : https://www.virustotal.com/#/file/268f1424ab842252a89d2464bef3858e22a75ca9a50137a0d12b4cefa14d56f6/detection

Si l’on cherche d’autres occurrences autour de ce serveur OVH, on constate que d’autres campagnes ont lieu ce jour ci.
Notamment, à travers apparemment de faux mails colissmo et l’utilisation d’une URL : http://colissim.fr/1234568/

colissim.fr has address 217.160.0.140 et a été enregistré avec une adresse free.fr :

domain: colissim.fr
status: ACTIVE
status: addPeriod
hold: NO
holder-c: GM16398-FRNIC
admin-c: GM16399-FRNIC
tech-c: UIS153-FRNIC
zone-c: NFC1-FRNIC
nsl-id: NSL109831-FRNIC
registrar: 1&1 Internet SE
Expiry Date: 19/02/2019
created: 19/02/2018
source: FRNIC

nic-hdl: GM16398-FRNIC
type: PERSON
contact: Georges Mirceski
address: Av du president wilson 7
address: 95260 BEAUMONT SUR OISE
country: FR
phone: +33.649810521
e-mail: [email protected]
registrar: 1&1 Internet SE
changed: 19/02/2018 [email protected]
anonymous: NO
obsoleted: NO
eligstatus: ok
eligdate: 19/02/2018 01:05:31
source: FRNIC

Des Tweets ont mentionné cette campagne, bien qu’il ne s’agisse pas d’un RAT Revenge au bout du compte :

 

Tout ceci fait penser à l’architecture des campagnes de JobCrypter & les activités carding de djamel au bled

Sinon un peu dans le même style de campagne de mail vérolé, vous avez aussi ce sujet : Faux mail Chronopost et virus

A propros de malekalmorte

malekal-site-logo-150

Passionné par l'informatique depuis très jeune, j'aide les internautes sur les forums depuis 2005 pour résoudre leurs tracas informatiques.
Je vous propose par la même occasion ce site avec de nombreux tutoriels pour vous aider aussi à résoudre de manière autonome les problèmes informatiques du quotidien.