A l’approche du Black Friday et des fêtes de fin d’année, les mails de phishing et autres arnaques menant à des contenus malveillants vont augmenter.
Ici il s’agit d’un mail de phishing Chronopost menant à un malware.
Cela n’a rien de nouveau puisque j’avais déjà publié un article concernant ce type d’attaque : Virus Chronopost : les faux mails
Voici une description d’un mail reçu hier menant à un Trojan:Win32/Wacatac.B!ml pour télécharger la charge utile un Trojan RAT en PowerShell.
Table des matières
Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT
Tout d’abord le mail de phishing Chronopost indiquant que votre colis est en cours de livraison avec un lien cliquable.
Rien de vraiment nouveau pour tromper les internautes.
On notera cette fois-ci l’effort de tenter d’envoyer un mail avec une adresse Chronopost valide, ici [email protected].
Par contre, il y a un problème de chargement des images car les liens sont en HTTP et non en HTTPS, ce qui pose problème sur les webmail.
En effet, cela charge du contenu mixte, c’est à dire non sécurisé sur un site sécurisé.
Le lien mène https://bit.ly/3HHFyOy ce qui normalement doit déjà mettre à la puce à l’oreille des internautes concernant la véracité du mail.
Le lien bitly mène à un service d’hébergement filetransfert.io :
https://filetransfer.io/data-package/NzW3Zzyf/download
Cela mène à un fichier Colis_____FR2882902991J01.js détecté en Trojan:Win32/Wacatac.B!ml
Les détections données sur VirusTotal sont relativement bonnes permettant de bloquer la chaîne malveillant dès son origine :
https://www.virustotal.com/gui/file/e35e763776db94920d9bbe44934692e656adf18a5f20f3911688ff95c2cd40b3 Détection : 18 / 57 e35e763776db94920d9bbe44934692e656adf18a5f20f3911688ff95c2cd40b3 Colis_____FR2882902991J01.js 13.53 KB Exploit.HTML-PowerShell.Gen ALYac Heur.BZC.UGZ.Boxter.1.13AE875D Arcabit Exploit.HTML-PowerShell.Gen Avast Script:SNH-gen [Trj] AVG Script:SNH-gen [Trj] BitDefender Exploit.HTML-PowerShell.Gen Emsisoft Exploit.HTML-PowerShell.Gen (B) eScan Exploit.HTML-PowerShell.Gen ESET-NOD32 JS/Agent.QLX FireEye Exploit.HTML-PowerShell.Gen GData Heur.BZC.UGZ.Boxter.1.13AE875D Kaspersky HEUR:Trojan-Downloader.Script.Generic Lionic Trojan.Script.Generic.a!c MAX Malware (ai Score=84) Microsoft Trojan:Script/Sabsik.FL.B!ml N ANO-Antivirus Trojan.Script.Heuristic-js.iacgm Symantec Trojan.Gen.NPE Tencent Win32.Exploit.Html.Llrc
Ce dernier est un Script VBS qui télécharge et exécute un autre malware via une commande PowerShell d’où la détection Trojan.Script ou Exploit.HTML-PowerShell.
Le malware téléchargé se trouve sur un site WordPress hacké :
https://cursosinf.webs.upv.es/wp-includes/css/dist/nux/windows11.txt
Le fichier PowerShell mène vers la charge utile, un Trojan RAT lui aussi écrit en PowerShell.
Ce dernier s’installe dans C:\Users\Public\windows11.PS1 :
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" "-Command" "if((Get-ExecutionPolicy ) -ne 'AllSigned') { Set-ExecutionPolicy -Scope Process Bypass }; & 'C:\Users\Public\windows11.PS1'"
Le centre de contrôle se trouve sur l’IP 185.81.157.136 qui se trouve en France :
AS | IP | BGP Prefix | CC | Registry | Allocated | AS Name
198375 | 185.81.157.136 | 185.81.156.0/22 | FR | ripencc | 2014-12-17 | INU-AS, FR
Notamment il effectue des POST sur l’URL http://185.81.157.136:1188/Vre
Il s’agit d’un VPS chez un hébergeur Français Inulogic, tout comme dans ce lien : Faux mail Chronopost et virus
Les détections sont très mauvaises puisque seulement 5 antivirus le détectent :
https://www.virustotal.com/gui/file/aca6c2ad07c13183bd708115f215a27993e95532d920ca259646e11a74820d9a aca6c2ad07c13183bd708115f215a27993e95532d920ca259646e11a74820d9a windows11.ps1 4.84 KB Size 2021-11-22 17:43:03 UTC 16 hours ago calls-wmi checks-network-adapters detect-debug-environment direct-cpu-clock-access powershell runtime-modules url- Avast SNH:Script [Dropper] AVG SNH:Script [Dropper] DrWeb Trojan.DownLoader41.16791 ESET-NOD32 PowerShell/Agent.WH
Enfin pour se rendre actif au démarrage, le malware créé un fichier Shell:Startup\Windows10December.vbs.
Ce dernier a simplement pour objectif d’exécuter le Trojan RAT au démarrage de Windows.
Set OBB = CreateObject("WScript.Shell")
OBB.Run "PowerShell -ExecutionPolicy RemoteSigned -File "+"C:\Users\Public\windows11.PS1",0
On voit donc Windows10December.vbs dans la liste des programmes au démarrage de Windows.
La détection de ce dernier est vierge sur VirusTotal, aucun antivirus ne le détecte.
Après il ne s’agit que de deux lignes de code pour exécuter un autre script =)
Si vous avez été touché par ce malware, le plus simple est de venir se faire désinfecter sur le forum du site (c’est gratuit).
Eventuellement suivre ce tutoriel :
Enfin lorsque vous recevez un mail suivez les recommandations de mon article : Le phishing ou hameçonnage par mail
- Vérifiez l’adresse de l’expéditeur et notamment le domaine internet
- S’il y a un lien, vérifiez ce dernier et refusez les liens courts. A lire : Comment vérifier un lien internet
- Si un fichier est proposé en téléchargement, refusez et ne l’ouvrez pas. Pour les curieux, faites une analyse VirusTotal : VirusTotal : comment vérifier un fichier sur plusieurs antivirus
EDIT – Nouveau faux mail Chronopost au 24/12
Nouvelle campagne de faux mail Chronopost “Votre colis est en cours de livraison“
Le mail contient un lien malveillant https://tiny.cc/vbwmuz qui redirige vers un fichier Colis__FR85315469J02.js hébergé chez filestransfer.io
15 détections positives sur VirusTotal avec des détections du type Script:SNH-gen [Trj], Exploit.HTML-PowerShell.Gen, Trojan:Script/Sabsik.FL.B!ml, HEUR:Trojan-Downloader.Script.Generic : https://www.virustotal.com/gui/file/713ae13e3ceb04e8abc1f4d1eeaff902d7987f84326214db1c22720d478369e6/detection
Il s’agit d’un script malveillant VBS qui exécute une commande PowerShell pour télécharger un autre script à l’adresse https://textbin.net/raw/equdutf9zu.
Cela conduit à nouveau à un script PowerShell…
.. qui au final renvoie vers le même type de malware que précédemment.
Ce dernier contacte le même serveur 185.81.157.136 utilisant toujours le même hébergeur INULOGIC SARL.