Les mails de phishing se faisant passer pour Chronopost commence à arriver.
Ils sont plus ou moins bien conçus menant parfois à du phishing classique pour récupérer des mots de passe.
Dans cet exemple, il s'agit d'un mail menant à un trojan RAT.

Faux mail Chronopost et virus

Vu passer un mail malicieux Chronopost, qui est d'ailleurs de plus en plus utilisé comme source de SPAM malveillant ou non.
Du pur classique qui pointe vers un VPS Français.

Le lien malveillant conduit à une adresse entre gov.php qui n'a rien à voir avec les services Chronopost :

et qui sans surprise mène à un exécutable malveillant : http://bwc.dole.gov.ph/abx/Chronopost-Colis.exe

bwc.dole.gov.ph has address 112.199.100.77

inetnum: 112.199.0.0 - 112.199.127.255
netname: ETPI
descr: Eastern Telecom Philippines Inc.
country: PH
admin-c: RC536-AP

La détection VirusTotal de l'exécutable :

SHA256:	ea3049624ea76ac35126a973df1a941ce67f1262af775a161a8be2f67dc7f9a5
Nom du fichier :	Chronopost-Colis.exe
Ratio de détection :	7 / 57
Date d'analyse :	2016-09-14 12:36:37 UTC (il y a 1 minute)

Antivirus	Résultat	Mise à jour
CrowdStrike Falcon (ML)	malicious_confidence_96% (D)	20160725
Invincea	virus.win32.sality.at	20160912
Kaspersky	HEUR:Packed.NSIS.MyxaH.gen	20160914
McAfee-GW-Edition	BehavesLike.Win32.Ransom.dc	20160914
Qihoo-360	HEUR/QVM42.0.0000.Malware.Gen	20160914
Rising	Malware.Heuristic!ET (rdm+)	20160914
SUPERAntiSpyware	Trojan.Agent/Gen-Kovter	20160914

Le mail est envoyé depuis une adresse [email protected] à partir d'une machine 185.81.157.168 (VPS - Inulogic Virtual Private Servers) :

Un malware qui va aller farfouiller dans les profils des navigateurs WEB pour voler des mots de passe WEB.

Le malware référence l'adresse resultip.ddns.net - encore un VPS chez Inulogic.

Quelques jours après.... :

Toujours d'actualité,  avec toujours un VPS Inulogic : 185.81.157.217
L'attaquant utilise toujours TeamViewer.

Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT

Un autre mail similaire dont le malware se connecte aussi à un VPS Inulogic laissant passer qu'il s'agit du même acteur.

Comment éviter les virus par mail Chronopost

Enfin lorsque vous recevez un mail suivez les recommandations de mon article :

• Vérifiez l'adresse de l'expéditeur et notamment le domaine internet
• S'il y a un lien, vérifiez ce dernier et refusez les liens courts. A lire : Comment vérifier un lien internet
• Si un fichier est proposé en téléchargement, refusez et ne l'ouvrez pas. Pour les curieux, faites une analyse VirusTotal : VirusTotal : comment vérifier un fichier sur plusieurs antivirus

L’article Faux mail Chronopost et virus est apparu en premier sur malekal.com.

A l'approche du Black Friday et des fêtes de fin d'année, les mails de phishing et autres arnaques menant à des contenus malveillants vont augmenter.
Ici il s'agit d'un mail de phishing Chronopost menant à un malware.
Cela n'a rien de nouveau puisque j'avais déjà publié un article concernant ce type d'attaque : Virus Chronopost : les faux mails

Voici une description d'un mail reçu hier menant à un Trojan:Win32/Wacatac.B!ml pour télécharger la charge utile un Trojan RAT en PowerShell.

Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT

Tout d'abord le mail de phishing Chronopost indiquant que votre colis est en cours de livraison avec un lien cliquable.
Rien de vraiment nouveau pour tromper les internautes.
On notera cette fois-ci l'effort de tenter d'envoyer un mail avec une adresse Chronopost valide, ici [email protected].
Par contre, il y a un problème de chargement des images car les liens sont en HTTP et non en HTTPS, ce qui pose problème sur les webmail.
En effet, cela charge du contenu mixte, c'est à dire non sécurisé sur un site sécurisé.

Le lien mène https://bit.ly/3HHFyOy ce qui normalement doit déjà mettre à la puce à l'oreille des internautes concernant la véracité du mail.

Le lien bitly mène à un service d'hébergement filetransfert.io :

https://filetransfer.io/data-package/NzW3Zzyf/download

Cela mène à un fichier Colis_____FR2882902991J01.js détecté en Trojan:Win32/Wacatac.B!ml
Les détections données sur VirusTotal sont relativement bonnes permettant de bloquer la chaîne malveillant dès son origine :

https://www.virustotal.com/gui/file/e35e763776db94920d9bbe44934692e656adf18a5f20f3911688ff95c2cd40b3
Détection : 18 / 57
e35e763776db94920d9bbe44934692e656adf18a5f20f3911688ff95c2cd40b3
Colis_____FR2882902991J01.js 13.53 KB

Exploit.HTML-PowerShell.Gen ALYac
Heur.BZC.UGZ.Boxter.1.13AE875D
Arcabit Exploit.HTML-PowerShell.Gen
Avast Script:SNH-gen [Trj]
AVG Script:SNH-gen [Trj]
BitDefender Exploit.HTML-PowerShell.Gen
Emsisoft Exploit.HTML-PowerShell.Gen (B)
eScan Exploit.HTML-PowerShell.Gen
ESET-NOD32 JS/Agent.QLX
FireEye Exploit.HTML-PowerShell.Gen
GData Heur.BZC.UGZ.Boxter.1.13AE875D
Kaspersky HEUR:Trojan-Downloader.Script.Generic
Lionic Trojan.Script.Generic.a!c MAX
Malware (ai Score=84) 
Microsoft Trojan:Script/Sabsik.FL.B!ml N
ANO-Antivirus Trojan.Script.Heuristic-js.iacgm
Symantec Trojan.Gen.NPE Tencent
Win32.Exploit.Html.Llrc

Ce dernier est un Script VBS qui télécharge et exécute un autre malware via une commande PowerShell d'où la détection Trojan.Script ou Exploit.HTML-PowerShell.
Le malware téléchargé se trouve sur un site WordPress hacké :

https://cursosinf.webs.upv.es/wp-includes/css/dist/nux/windows11.txt

Le fichier PowerShell mène vers la charge utile, un Trojan RAT lui aussi écrit en PowerShell.
Ce dernier s'installe dans C:\Users\Public\windows11.PS1 :

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" "-Command" "if((Get-ExecutionPolicy ) -ne 'AllSigned') { Set-ExecutionPolicy -Scope Process Bypass }; & 'C:\Users\Public\windows11.PS1'"

Le centre de contrôle se trouve sur l'IP 185.81.157.136 qui se trouve en France :

AS      | IP               | BGP Prefix          | CC | Registry | Allocated  | AS Name
198375  | 185.81.157.136   | 185.81.156.0/22     | FR | ripencc  | 2014-12-17 | INU-AS, FR

Notamment il effectue des POST sur l'URL http://185.81.157.136:1188/Vre
Il s'agit d'un VPS chez un hébergeur Français Inulogic, tout comme dans ce lien : Faux mail Chronopost et virus

Les détections sont très mauvaises puisque seulement 5 antivirus le détectent :

https://www.virustotal.com/gui/file/aca6c2ad07c13183bd708115f215a27993e95532d920ca259646e11a74820d9a

aca6c2ad07c13183bd708115f215a27993e95532d920ca259646e11a74820d9a
windows11.ps1
4.84 KB Size
2021-11-22 17:43:03 UTC 16 hours ago
calls-wmi checks-network-adapters detect-debug-environment direct-cpu-clock-access powershell runtime-modules url-

Avast SNH:Script [Dropper]
AVG SNH:Script [Dropper]
DrWeb Trojan.DownLoader41.16791
ESET-NOD32 PowerShell/Agent.WH

Enfin pour se rendre actif au démarrage, le malware créé un fichier Shell:Startup\Windows10December.vbs.
Ce dernier a simplement pour objectif d'exécuter le Trojan RAT au démarrage de Windows.

Set OBB = CreateObject("WScript.Shell")
OBB.Run "PowerShell -ExecutionPolicy RemoteSigned -File "+"C:\Users\Public\windows11.PS1",0

On voit donc Windows10December.vbs dans la liste des programmes au démarrage de Windows.

La détection de ce dernier est vierge sur VirusTotal, aucun antivirus ne le détecte.
Après il ne s'agit que de deux lignes de code pour exécuter un autre script =)

Si vous avez été touché par ce malware, le plus simple est de venir se faire désinfecter sur le forum du site (c'est gratuit).
Eventuellement suivre ce tutoriel :

Enfin lorsque vous recevez un mail suivez les recommandations de mon article : Le phishing ou hameçonnage par mail

• Vérifiez l'adresse de l'expéditeur et notamment le domaine internet
• S'il y a un lien, vérifiez ce dernier et refusez les liens courts. A lire : Comment vérifier un lien internet
• Si un fichier est proposé en téléchargement, refusez et ne l'ouvrez pas. Pour les curieux, faites une analyse VirusTotal : VirusTotal : comment vérifier un fichier sur plusieurs antivirus

L’article Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT est apparu en premier sur malekal.com.

Les Trojans pour cheval de troie en français sont des menaces dangereuses visant les internautes.
Avec un Trojan, un pirate peut contrôler votre PC à distance, voler des données comme les mots de passe ou des fichiers.
Lorsque vous soupçonnez la présence d'un Trojan sur votre PC, il convient de suivre un protocole et procédure pour enlever tous les malwares.

Dans ce tutoriel, je vous propose une procédure simple et rapide qui devrait vous aider à supprimer la plupart des trojans.

Les conseils pour supprimer les trojan de son PC

Un trojan ou cheval de troie est une menace importante qui permet le contrôle de votre appareil.
Ainsi, votre PC rejoint un botnet contrôlé par un pirate pour opérer des comportements malveillants (attaques DoS, envoie de mail malveillant ou de SPAM, etc).
On trouve beaucoup de familles de trojan comme Wacatac, Tnega, Tiggre, etc.

Voici quelques conseils à suivre afin de réussir à enlever un trojan sans aucun risque.

• Si vous ne faites pas de sauvegarde, c'est le moment : Comment sauvegarder ses données sur Windows 10
• N'installez pas trop de logiciels de désinfection sous peine de ralentir votre PC
• Ne tombez pas dans la paranoïa. Lorsque l'on a peur, on a tendance à croire que son PC est infecté et passer tous les logiciels antivirus qui nous tombent sur la main
• Attention aux arnaques (TotalAv, Restoro, ....). Il existe de nombreux logiciels peu fiables mais très présents sur Google. Evitez de les installer
• Laissez tomber les logiciels tels que Spybot, Malware Hunter, désuet et inefficace
• AdwCleaner et ZHPCleaner ne visent pas ce type de menaces, il ne sert donc à rien de les utiliser

Comment supprimer un trojan de son PC gratuitement

Désinfecter son PC avec Malwarebytes Anti-Malware

Malwarebytes Anti-Malware (MBAM) est considéré comme un des logiciels de désinfection les plus performant.
Une version gratuite existe pour analyser, neutraliser et supprimer tous les chevaux de troie de votre PC.
Pour y parvenir, suivez ce tutoriel complet.

• Téléchargez MBAM depuis ce lien :

• Lancez une analyse de votre PC

• Enfin supprimer toutes les menaces détectées

• Redémarrez le PC pour prendre en compte les modifications, si nécessaire

Supprimer les trojan avec Kaspersky

L'éditeur de sécurité russe propose aussi un outil Kaspersky Virus Removal Tool pour éradiquer la plupart des trojan de votre PC.
Vous pouvez donc l'utiliser pour analyser votre PC et supprimer tous les malwares.

Un tutoriel existe aussi sur le site :

• Téléchargez Kaspersky Virus Removal Tool depuis ce lien :

• Puis lancez l'analyse complète de votre PC

• Enfin supprimez tous les logiciels malveillants détectés par l'outil

Détecter et supprimer les trojan avec FRST

Le site propose un forum d'entraide gratuit où l'on peut aussi opérer une désinfection de votre PC.
Pour y parvenir, on utilise le logiciel FRST qui permet de générer un rapport d'analyse du PC pour déceler un cheval de troie.

• Téléchargez FRST

• Puis lancez l'analyse FRST de votre PC
• Attendez la fin du scan, un message indique que l'analyse est terminée.
• Deux rapports FRST seront générés :
  • FRST.txt
  • Additionnal.txt
• Envoyez ces rapports sur le site pjjoint et notez les liens obtenus
• Enfin créez un utilisateur et un sujet avec un maximum d'explications claires sur les symptômes, donnez les liens des rapports FRST. Pour vous aidez suivez ce guide : comment demander de l'aide sur le forum
• Attendez une aide avec les instructions pour supprimer le cheval de troie de votre PC

Après désinfection du PC : Changer ses mots de passe et sécuriser son PC

Vous ave réussi à supprimer les trojans et malwares de votre PC grâce à ce guide.
Il est alors conseillé de changer tous les mots de passe de votre PC et notamment ceux de vos comptes internet.
En effet, un trojan peut voler les mots de passe stockés sur votre PC.
Ainsi vos comptes internet sont menacés.

1. Changez les mots de passe
2. Gardez MBAM quelques jours et faites des analyses pour s'assurer qu'aucune autre menace n'est active
3. Sécuriser votre PC en suivant ce tutoriel : Comment sécuriser son PC contre les virus et pirates

L’article Comment supprimer un trojan de son PC gratuitement est apparu en premier sur malekal.com.

Les chercheurs du Laboratoire des menaces Avast ont également observé une augmentation des activités des rootkits et de nouvelles approches dans les domaines des kits d'exploit et du cheval de Troie bancaire « Flubot ».

The post Rapport des menaces Avast – 3ème trimestre 2021 : un risque élevé de ransomwares et d’attaques de type cheval de Troie first appeared on UnderNews.

Proofpoint a identifié un nouvel acteur de menace : TA2722. Surnommé par les chercheurs de Proofpoint « les Renards de Balikbayan », ce groupe de cybercriminels a été très actif tout au long de l’année 2021.

The post Les chercheurs Proofpoint ont identifié un nouveau groupe de cybercriminels nommé TA2722 first appeared on UnderNews.

D’après l’Industrial Control Systems Cyber Emergency Response Team (ICS CERT) de Kaspersky, une unité qui vise à détecter et à éliminer les menaces touchant les systèmes de contrôle industriels, près d’un système informatique industriel sur trois a été la cible d’activités malveillantes au premier trimestre 2021. Au premier semestre 2021, les cybercriminels ont eu largement […]

The post Sécurité des systèmes de contrôle industriels : spywares et scripts malveillants en hausse au premier semestre 2021 first appeared on UnderNews.

Dans notre société moderne, des milliards d'appareils électroniques sont utilisés chaque jour. Une tendance accentuée par la démultiplication de l'Internet des objets (IoT).

The post Détection des Chevaux de Troie à l’aide du machine learning first appeared on UnderNews.

Milum est un cheval de Troie utilisé par WildPressure, un groupe APT (Advanced Persistent Threat) actif au Moyen-Orient, que Kaspersky surveille depuis août 2019. Lors de leurs investigations sur l’une des dernières attaques de ce groupe qui semble viser le secteur industriel, les chercheurs de Kaspersky ont détecté de nouvelles versions du malware écrites dans différents langages de programmation, dont une qui peut infecter à la fois les systèmes Windows et macOS. 

The post Le malware multiplateforme de WildPressure s’attaque à macOS au Moyen-Orient first appeared on UnderNews.