Faux Mail AXA et Trojan:MSIL/Revenge

On commence la semaine avec une fausse campagne de mail AXA qui vise probablement les entreprises.
Ces mails cherchent à faire installer un cheval de troie du type Trojan:MSIL/Revenge sur l’ordinateur afin de voler des données.

Faux Mail AXA et Trojan:MSIL/Revenge

Ce mail est envoyé depuis une machine malta2889.startdedicated.net (85.93.91.128).

source du SPAM Trojan Revenge

Le fichier zip renferme un fichier JavaScript qui a pour mission de télécharger et exécuter le Trojan sur l’ordinateur.
Si vous suivez le site régulièrement, je préconise de désactiver Windows Script Hosting afin de se protéger de ce type de menace : Comment se protéger des scripts malveillants sur Windows

Ce dernier est plutôt bien détecté par les détections génériques et heuristiques.
On trouve du JS.Trojan.Iframe,
JS:Downloader
et même du Malware.HTML/ExpKit alors qu’il ne s’agit pas d’un composant lié à un Web ExploitKit :https://www.virustotal.com/#/file/10e65ca628401242adb2b67515340e45b9264c0dcd06ed0d6ff9ce16c909613f/detection

De son côté, Microsoft le détecte en Trojan:SCript/Woreflint.A

Le malware nécessite NET. Frameworl 3.5, ainsi sur Windows 10, une popup d’installation peut se déclencher, ce qui peut intriguer l’utilisateur.
Une fois exécuté, le malware se connecte sur la même machine utilisée pour la campagne de SPAM malta2889.startdedicated.net, sur le port 98.

Enfin ce cheval de troie n’est pas résident, c’est à dire qu’il ne tente pas de se lancer au démarrage de Windows.
Après avoir volé les données, il se supprime de lui même et peut donc passer relativement inaperçu.

Enfin les détections sont plutôt bonnes pour une campagne active avec 27 détections sur 72.
Là aussi beaucoup de détections génériques dont Trojan:Win32/Azden et
Trojan:MSIL/Revenge.
Le lien VirusTotal : https://www.virustotal.com/#/file/dad6bf5196b7ac4ea0b2cb688f34cc46adc6ce26603d6953d1b8175b4582e314/detection

Encore une fois les mails sont un vecteurs important dans les menaces pour les entreprises.
N’hésitez pas à sensibiliser vos utilisateurs avec notre article : Virus par Email : Ce qu’il faut savoir pour les éviter

(Visité 161 fois, 1 visites ce jour)
Noter cet article

Add Comment