Cela faisait longtemps que je n’avais pas fait un sujet sur des malwares.
Ce matin, un faux mail AXA pour des dossiers de sinistre :
Comme d’habitude, le mail contient une pièce jointe malveillante au format ZIP (fc12457844.zip).
Ce dernier contient un script malveillant VBE fc12457844.jse, tout à fait classique depuis plusieurs années : Virus par Email : Ce qu’il faut savoir pour les éviter
Les mails sont envoyés depuis une machine 82.165.137.21.
Received: from s20999542.onlinehome-server.info (82.165.137.21) by xxxx with SMTP; 19 Feb 2018 08:55:59 +0100 Received: from dev6 ([192.168.22.134]) by s20999542.onlinehome-server.info (Microsoft SMTPSVC(6.0.3790.1830)) with SMTP id YFTADLCA Reply-To: <[email protected]> From:"AXA France" <[email protected]>
Le script VBE est assez classique… et se connecte à un serveur OVH (91.121.78.51) pour télécharger le cheval de troie et l’installer.
La persistance dans Windows se fait à travers une entrée Startup :
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\nt22.js %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\nt22.lnk
Windows Defender détecte le script malveillant en TrojanDropper:JS/Bixhif
Le cheval de troie communique avec ce même serveur OVH sur le port 551 : 91.121.78.51:551
Enfin, le binaire est positif à 14/67 sur VirusTotal : https://www.virustotal.com/#/file/268f1424ab842252a89d2464bef3858e22a75ca9a50137a0d12b4cefa14d56f6/detection
Si l’on cherche d’autres occurrences autour de ce serveur OVH, on constate que d’autres campagnes ont lieu ce jour ci.
Notamment, à travers apparemment de faux mails colissmo et l’utilisation d’une URL : http://colissim.fr/1234568/
colissim.fr has address 217.160.0.140 et a été enregistré avec une adresse free.fr :
domain: colissim.fr status: ACTIVE status: addPeriod hold: NO holder-c: GM16398-FRNIC admin-c: GM16399-FRNIC tech-c: UIS153-FRNIC zone-c: NFC1-FRNIC nsl-id: NSL109831-FRNIC registrar: 1&1 Internet SE Expiry Date: 19/02/2019 created: 19/02/2018 source: FRNIC nic-hdl: GM16398-FRNIC type: PERSON contact: Georges Mirceski address: Av du president wilson 7 address: 95260 BEAUMONT SUR OISE country: FR phone: +33.649810521 e-mail: [email protected] registrar: 1&1 Internet SE changed: 19/02/2018 [email protected] anonymous: NO obsoleted: NO eligstatus: ok eligdate: 19/02/2018 01:05:31 source: FRNIC
Des Tweets ont mentionné cette campagne, bien qu’il ne s’agisse pas d’un RAT Revenge au bout du compte :
The same as this one from hxxp://colissim.frhttps://t.co/n23YXr3Qsd
— Yves Agostini (@yvesago) February 19, 2018
Tout ceci fait penser à l’architecture des campagnes de JobCrypter & les activités carding de djamel au bled
Sinon un peu dans le même style de campagne de mail vérolé, vous avez aussi ce sujet : Faux mail Chronopost et virus