On commence la semaine avec une fausse campagne de mail AXA qui vise probablement les entreprises.
Ces mails cherchent à faire installer un cheval de troie du type Trojan:MSIL/Revenge sur l’ordinateur afin de voler des données.
Ce mail est envoyé depuis une machine malta2889.startdedicated.net (85.93.91.128).
Le fichier zip renferme un fichier JavaScript qui a pour mission de télécharger et exécuter le Trojan sur l’ordinateur.
Si vous suivez le site régulièrement, je préconise de désactiver Windows Script Hosting afin de se protéger de ce type de menace : Comment se protéger des scripts malveillants sur Windows
Ce dernier est plutôt bien détecté par les détections génériques et heuristiques.
On trouve du JS.Trojan.Iframe,
JS:Downloader et même du Malware.HTML/ExpKit alors qu’il ne s’agit pas d’un composant lié à un Web ExploitKit :https://www.virustotal.com/#/file/10e65ca628401242adb2b67515340e45b9264c0dcd06ed0d6ff9ce16c909613f/detection
De son côté, Microsoft le détecte en Trojan:SCript/Woreflint.A
Le malware nécessite NET. Frameworl 3.5, ainsi sur Windows 10, une popup d’installation peut se déclencher, ce qui peut intriguer l’utilisateur.
Une fois exécuté, le malware se connecte sur la même machine utilisée pour la campagne de SPAM malta2889.startdedicated.net, sur le port 98.
Enfin ce cheval de troie n’est pas résident, c’est à dire qu’il ne tente pas de se lancer au démarrage de Windows.
Après avoir volé les données, il se supprime de lui même et peut donc passer relativement inaperçu.
Enfin les détections sont plutôt bonnes pour une campagne active avec 27 détections sur 72.
Là aussi beaucoup de détections génériques dont Trojan:Win32/Azden et
Trojan:MSIL/Revenge.
Le lien VirusTotal : https://www.virustotal.com/#/file/dad6bf5196b7ac4ea0b2cb688f34cc46adc6ce26603d6953d1b8175b4582e314/detection
Encore une fois les mails sont un vecteurs important dans les menaces pour les entreprises.
N’hésitez pas à sensibiliser vos utilisateurs avec notre article : Virus par Email : Ce qu’il faut savoir pour les éviter