Campagne de mails malveillants en français

octobre 23rd, 2011 | Posted by Cervoise in Français

Cela fait plusieurs jours que je reçois des mails usurpant les noms de PayPal ou Colissimo. Les mails ont correctement été classés comme spam par Google Mail.

Premier mail – 19 octobre 2011 – 21h55 – Phishing PayPal

Un mail classique de phishing s’annonçant comme « Service PayPal » avec pour objet « Votre compte sera restreint jusqu’à réception du nouveau formulaire ! ». Pour récupérer l’accès à son compte on doit remplir un formulaire disponible en pièce jointe.

Ce type de phishing est plus difficile à bloquer car le formulaire est en local sur le poste et les informations sont envoyées vers un serveur qui ne s’affiche pas clairement comme faisant du phishing.

Petit défaut du mail, certains accents ne sont pas passés ce qui rend le mail moins crédible.

L’analyse de la pièce jointe montre que certains éditeurs ont su s’adapter à ce nouveau type de phishing. En effet AntiVir reconnait le fichier comme étant malveillant et l’annonce : PHISH/PayPal.AZ ()

Après analyse le fichier HTML n’embarque pas de charge virale et se contente de faire une simple  fuite d’information vers l’URL http://ready4share.com/submit.php.

Lorsque l’on remplit le formulaire le serveur récupère les informations et redirige l’utilisateur vers le site de PayPal pour donner le change.

Le domaine n’est pas connu comme malveillant à ce jour (23/10/2011 – 12h).

Deuxième mail – 20 octobre 2011 – 05h38 – Fausse facture PayPal

Un second mail se présentant comme venant de « Service PayPal » avec comme objet « Vous avez envoyé un paiement ». Ce mail est un accusé de paiement classique qui propose de consulter une facture. Cette fois-ci le mail a moins de problème avec les accents, les « à » ayant été remplacés par des « a ».

La fausse facture : Facture_transaction.pdf.exe est hébergé sur : www.grainexperts.com.

Une analyse faite sur VirusTotal au lendemain de la réception du mail montre que le domaine est connu par quatre entités comme malveillant. A ce jour, le résultat est identique.

L’analyse du fichier est peu concluante, au lendemain de sa réception seul quatre solutions antivirales reconnaissent ce fichier comme malveillant. A ce jour, c’est 10 moteurs qui reconnaissent l’échantillon.

Troisième mail – 22 octobre 2011 – 18h06 – Faux accusé de réception Colissimo

Pour le troisième mail, l’entreprise change. Le mail vient de « Service Poste » avec l’objet suivant : « Votre colis a été retourné au bureau de Colissimo ». Ce mail est un accusé de non livraison. Pour obtenir plus d’information il est nécessaire de télécharger les détails de la livraison.

Le faux document doc_colissmo_suivi.pdf.exe est hébergé sur www.ready4share.com. Le fichier est reconnu à ce jour par 7 moteurs antiviraux.

Points communs

Tous les mails semblent provenir de l’adresse : postmaster@aprea.fr. APREA est L’Association Professionnelle des Réalisateurs d’Écrans Acoustiques. Le domaine n’est pas présent dans des listes noires de spam et n’est pas vu comme malveillant par les moteurs utilisés par virustotal.

Ils ont tous le même serveur d’origine : s15860114.onlinehome-server.info ([217.160.91.162]).

Ni l’adresse IP, ni le domaine n’est présent dans une liste noire de spam (tests réalisés sur Debouncer).

Actions

Les mails ont été communiqués à un CERT pour traitement. Les échantillons ont été soumis à Clam (le 20 octobre 2011).

MAJ du 08/08/2012 : Les échantillons sont désormais reconnus par Clam depuis fin octobre 2011.

Liste des liens

Site de VirusTotal
Analyse de la pièce jointe du premier mail

Analyse du domaine ready4share.com
Analyse du domaine grainexpert.com
Analyse de la fausse facture PayPal

Analyse du faux document Colissimo
Analyse du domaine aprea.fr
Site de L’Association Professionnelle des Réalisateurs d’Écrans Acoustiques
Debouncer

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload the CAPTCHA.