Yup!

Ce matin, je reçois un joli scam pour bPost, dont on parle depuis quelques jours dans la presse et les réseaux sociaux. Curieux de nature, j'ai ouvert quelques pages pour voir un peu ce que le mec exécutait... (Et Clandestino joue aussi avec moi.).

On joue ensembles?

Alors, primo, le mail m'envoie sur:
my-dolls-ed.com/yvKxDe1Mo/ (listing oh mon ami)
qui en fait renvoie vers
r1je.bpost-server.org/sjeii.php?id=

Et puis donc on se prend un zip avec un js (qui semble targeter surtout IE).

Pour rire:

host bpost-server.org
bpost-server.org has address 89.223.29.77


dig bpost-server.org

; <<>> DiG 9.10.4-P5-RedHat-9.10.4-4.P5.fc25 <<>> bpost-server.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39676
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;bpost-server.org. IN A

;; ANSWER SECTION:
bpost-server.org. 3517 IN A 89.223.29.77

;; Query time: 235 msec 8.8.4.4#53(8.8.4.4)
;; WHEN: mer. févr. 01 13:57:07 CET 2017
;; MSG SIZE rcvd: 61



host 89.223.29.77
77.29.223.89.in-addr.arpa domain name pointer 135883.simplecloud.club.



Ce serait donc un hébergement russe

A la base, on se télécharge un ZIP qui contient un gros JS bien obfusqué. Sauf qu'en grattant un peu, c'est de l'obfuscation basique. De là, on en déduit que :
- le virus ne cible que les utilisateurs IE car il nécéssite un ActiveXObject pour initialiser un Scripting.FileSystemObject.
- le js ouvre un MSXML.XMLHttpRequest pour télécharger un payload (lequel ? On doit encore creuser - probablement un script vbs)
- le js récupère le TEMP avec un GetTempName(), y crée un fichier où il injecte le contenu du payload, puis lui applique un WShell.execute()

Reste à piger le contenu du payload Je vais faire tourner le JS sur une VM isolée qui aura juste accès à bpost-server.org et à rien d'autre et monitorer l'injection du fichier créé par le JS pour pouvoir examiner son contenu.

Alors, suite et fin :
- le payload est un ransomware/filelocker - donc une belle saloperie.
- voilà le script décomposé pour ceux que ça intéresse :

Franchement, à l'époque, il y avait une meilleure recherche de nos amis pirates pour obfusquer le tout, ici c'était encore assez "facile".
Je suis curieux de voir sur d'autres emails reçus pour cette vague si c'est toujours le même fichier, ou si ils s'éparpillent un peu partout pour rendre le truc plus complexe à fermer

Et si quelqu'un a "malencontreusement" cliqué sur le lien et que le JS s'est mis sur le PC, ça se lance tout seul ce bazar ??

Donc oui, une de mes collègues (celle qui fait les commandes de timbres chez bpost - tiens le problème viendrait pas à la base de bpost qui se serait fait "usurper" une base de données...) a eu une réaction pour le moins bizarre :
- elle reçoit le mail ;
- me le transfert en me demandant si c'est "normal" ;
- je lui répond de le foutre poubelle direct ;
- elle me répond "too late"...

Je suis monter directement, elle m'a dit que ça avait mis un fichier sur le PC et je l'ai supprimé directement.

Il y a encore des risques ?
Apparemment rien ne s'est passé puisqu'on m'a pas encore appelé aujourd'hui pour me dire que son PC fonctionnait pas.

Et la cerise sur le gâteau, on travaille maintenant au bureau via un serveur sur lequel les utilisateurs se connecte avec leur poste de travail.
J'imagine la réaction si tout se bloque...

Maintenant peut-être que le firewall et autres "protections" mises en place ont fait leur boulot aussi.


Bref, si je peux vérifier quelque chose pour être sûr que tou est ok, je suis preneur.

Non, bPost ne s'est pas fait pirater, ils utilisent des DBs d'emails globales, ils spamment partout comme des porcs (comme ils l'ont fait par le passé en proposant des faux bons pour Ikea ou d'autres), en espérant toucher un maximum de pigeons

A priori celui sur lequel on est tombé, c'est un cryptoware/ransomware, et ça marche que avec IE, donc si par défaut son JS s'est ouvert sur Chrome ou Firefox, ça devrait pas être un soucis.

Tu peux toujours passer un coup de Windows Defender ou autre scan d'antivirus, mais dans le cas de ce genre d'infection, un ancien backup est la réponse la plus adéquate, donc... BACKUP

Yep St-Petersbourg.
http://whois.domaintools.com/bpost-server.org

Pour une fois ce n'est pas hosté chez OVH


Pour le moment, mon anti-spam à du mal avec des mails venant de filles en manque voulant qu'on leur fasse la totale, d'offres d'emploi de directeur et des propositions d'essai d'une application qui me ferait gagner des millions à la bourse.

Mon anti-spam est un carriériste , vénal et pervers

Ha? Et ton anti spam c'est quoi?

J'étais sur du SpamAssassin de base jusqu'il y a peu, je l'ai boosté avec Cloudmark il y a quelques semaines (ça m'a coûté un rein), mais j'ai quasi plus aucun spam depuis, c'est le paradis

C'est SA qui a toujours bien fonctionné jusqu'il y a quelques semaines. je vais devoir me plonger dans les logs et comprendre pourquoi certains mails sont
marqués comme spam et d'autres pas , alors qu'ils ont le même contenu..

C'est bien Chrome qui s'est ouvert.
Une bonne nouvelle donc.

La société qui gère l'IT fait des backup, sur un autre serveur, mais qui est aussi ici à l'étude (enfin sur des "cassettes" qu'on change tous les jours).

Dr_Dan> Il m'en restait encore une 20aine par jour (sur des centaines filtrés ), le seul qui est passé ces derniers jours c'est une fois ce mail bPost

Tang> Si c'était le même que celui reçu, oui, zen

Le danger avec le randomware c'est que pendant qu'il chiffre tes données tu ne remarques parfois rien
Et pareil avec les backups : si tu bakcupes la version chiffrée d'un document à la place de sa version d'origine... (vaut mieux avoir un historique)

Rien de tel que le backup incrémental hein

Il en reste 5-6 spams non filtés par jour. Dans l'absolu c'est gérable , mais venant de zéro ,c'est frustrant

Bah oui, mais c'est pas évident pour tout le monde ; même en incrémental y en a qui n'ont pas les anciennes versions

Sinon pour le spam je suis content du filtre Gmail. J'ai peux de spams non détectés (même pas un par semaine), tout comme j'ai peu de faux-positifs (même pas un par mois, j'essaie de jeter un coup d'oeil régulier au dossier spam, j'en loupe peut-être), sur une bonne centaine de spams par jour.