CERTFR-2016-ALE-006

Vulnerability from certfr_alerte - Published: - Updated:

Marqueurs de téléchargement de charge mis à jour le 27/10/2016.

Mise à jour du 27/10/2016

Le CERT-FR constate une nouvelle campagne de courriels malveillants contenant des pièces jointes au format ZIP. L'archive contient un fichier de type JSE (Javascript Encode) ou WSF (Windows Script File) visant à télécharger une variante de Locky. Cette variante chiffre les fichiers de la machine et utilise l'extension .shit.

Mise à jour du 24/10/2016

Le CERTFR constate une nouvelle campagne de mails contenant des pièces jointes .hta malveillantes en cours. Ces pièces jointes correspondent à des fichiers html contenant du code Javascript téléchargeant le rançongiciel.

Mise à jour du 30/09/2016

Le CERTFR constate une nouvelle vague de mails contenant des pièces jointes malveillantes en cours. Ces pièces jointes sont des documents office contenant une macro VBA téléchargeant le rançongiciel Zepto. L'extension utilisée par le rançongiciel a changée depuis la dernière vague pour devenir .odin. La liste des urls de téléchargement de charge est mise à jour.

Depuis le début septembre 2016, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Zepto.

Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l'utilisateur. La victime est ensuite invitée à verser de l'argent afin que l'attaquant déchiffre les fichiers ciblés.

Dans le cadre de cette campagne, et d'après les échantillons que le CERT-FR a observés, la diffusion de Zepto s'effectue par l'intermédiaire d'un pourriel contenant une archive. Cette archive contient un script Windows (extension .wsf) executant du Javascript. Le Javascript va ensuite contacter un domaine pour récupérer le Rançongiciel Zepto.

À l'aide les échantillons remontés, le CERT-FR a constaté que les URLs de téléchargement du binaire Zepto sont les suivantes :

Téléchargement de charge au 27/10/2016

URI de distribution de charge observée:

/t67bg
/t76f3g

Domaines distributeur de charge (point d'eau, site légitime compromis):

pkastrologer.com_BAD_
redsrev.com_BAD_
lancasternewcity.com.ph_BAD_
samspizzapasta.com_BAD_

Domaine distributeur de charge:

duplespry.net_BAD_
arzunyolk.com _BAD_
Téléchargement de charge au 24/10/2016

URI obbservée:

/076wc

Domaines observés:

3ainstrument.com._BAD_
abulhoul.ae._BAD_
bagnet.ir._BAD_
beyondhorizon.net._BAD_
castoncorporateadvisory.in._BAD_
checkimage.comuf.com._BAD_
cignitech.com._BAD_
cygnatech.com._BAD_
cynosurejobs.net._BAD_
dolphinom.com._BAD_
grupoecointerpreis.com._BAD_
hotel.comxa.com._BAD_
icclicks.com._BAD_
jhandiecohut.com._BAD_
ledenergythai.com._BAD_
naacllc.com._BAD_
nanrangy.net._BAD_
olpharm.com._BAD_
punjabipollywood.com._BAD_
sowkinah.com._BAD_
stock.comuf.com._BAD_
thaitooling.net._BAD_
wamasoftware.com._BAD_
wkreation.com._BAD_
www.jhandiecohut.com._BAD_
www.pspgemencheh.edu.my._BAD_
www.pspmrsmtumpat.com._BAD_
www.rawahyl.com._BAD_
Téléchargement de charge au 12/10/2016

URI observée:

/d5436gh

Domaines observés :

eaglemouth.org_BAD_
dabihfluky.com_BAD_
Téléchargement de charge au 03/10/2016

URIs observées :

\jhg45s

Domaines observés :

acaciainvest.ro_BAD_
alraysa.com_BAD_
anthonycarducci.lawyerpublicity.com_BAD_
antiquescollectablesandjuststuff.com_BAD_
atronis.com_BAD_
bluewaterappco.com_BAD_
boservice.info_BAD_
catlong.com_BAD_
cedrussauna.com_BAD_
craftsreviews.com_BAD_
crossroadspd.com_BAD_
denvertracy.com_BAD_
dickenshandchimes.com_BAD_
dotcom-enterprises.com_BAD_
eidshow.com_BAD_
far-infraredsaunas.com_BAD_
foe-2.com_BAD_
gcandcbuilderssite.aaomg.com_BAD_
golfnauvoo.com_BAD_
hostmyimage.biz_BAD_
icdsarch.com_BAD_
ifsaiumumi.com_BAD_
inmopromo.com_BAD_
lesscellantshautegamme.ca_BAD_
maxleather.aaomg.com_BAD_
mmm2.aaomg.com_BAD_
monkeysdragon.net_BAD_
msurf.net_BAD_
new2.aaomg.com_BAD_
nonprofitbenefit.com_BAD_
nutrahacks.com_BAD_
orhangazitur.com_BAD_
parkerneem.com_BAD_
real-corp.info_BAD_
saunacushions.com_BAD_
slicktalk.net_BAD_
test.cedrussauna.net_BAD_
tsukasagiku.com_BAD_
villadiana.lv_BAD_
webhost911.com_BAD_
Téléchargement de charge au 30/09/2016

URIs observées :

\021ygs7
\bdb37
\g76ub76

Domaines observés :

0735home.com_BAD_
1maximus.ru_BAD_
368lx.com_BAD_
81millstreet.nl_BAD_
alliswelltour.com_BAD_
americanfancies.com_BAD_
amerikanservisi.com_BAD_
ampconnect.com_BAD_
anhsaodem.info_BAD_
aquatixbottle.com_BAD_
arbeit-von-zuhause.com_BAD_
askmeproperties.com_BAD_
atstory.com_BAD_
badminton2008.com_BAD_
bandbcreuse.com_BAD_
bdfxb.com_BAD_
beineinu.org_BAD_
birthstory.com_BAD_
brioconseils.com_BAD_
cafe-bg.com_BAD_
chchqq.com_BAD_
cmcomunicacion.es_BAD_
dedivan.ru_BAD_
delphinph.com_BAD_
demo.website.pl_BAD_
dfl210.ru_BAD_
ecoledesalsa.com_BAD_
econopaginas.com_BAD_
gadget24.ro_BAD_
game6media.com_BAD_
globalremoteservices.com_BAD_
gomelnaushnik.com_BAD_
hollywoodjesus.com_BAD_
ingpors.sk_BAD_
innogenap.com_BAD_
juyinggroup.com_BAD_
kashira.potolki.bz_BAD_
kelownatownhomes.com_BAD_
kolonker.com_BAD_
mahboob-e-rehmani.com_BAD_
nokianshop.com_BAD_
opmsk.ru_BAD_
parroquiansg.org_BAD_
pecschool.com_BAD_
purebanquet.com_BAD_
rikuzentakata-mpf.org_BAD_
rutlandhall.com_BAD_
slaterarts.com_BAD_
smokintech.com_BAD_
sonajp.com_BAD_
sotorentals.com_BAD_
studiorif.ru_BAD_
techsilicon.com_BAD_
teothemes.com_BAD_
travelinsider.com.au_BAD_
travicoperu.com_BAD_
undiaem.com_BAD_
unionathletica.com_BAD_
veganvet.net_BAD_
victorcasino.com_BAD_
w3hostingserver.com_BAD_
werix.sk_BAD_
www.sikharaprojects.com_BAD_
zdiaran.sk_BAD_
Téléchargement de charge au 07/09/2016
around4percent.web.fc2.com_BAD_/j8fn3rg3
bostoncittyregenerww.com_BAD_/js/j8fn3rg3
kreativmanagement.homepage.t-online.de_BAD_/j8fn3rg3
marcotormento.de_BAD_/j8fn3rg3
maxshoppppsr.biz_BAD_/js/vf3gt4b4
michik.web.fc2.com_BAD_/j8fn3rg3
news.oboyle.ro_BAD_/myeyuum
sp-moto.ru_BAD_/j8fn3rg3
unimet.tmhandel.com_BAD_/j8fn3rg3
www.hestia-bewindvoering.nl_BAD_/j8fn3rg3
www.montegelato.it_BAD_/j8fn3rg3
www.termoalbiate.com_BAD_/uwmakrm
www.vilastefania.go.ro_BAD_/j8fn3rg3

Serveurs de Commande et de Contrôle au 07/09/2016 Selon nos analyses, les domaines sont générés aléatoirement. Aucun domaine pertinent n'est pour l'instant disponible.

Les IPs suivantes sont susceptibles d'être contactées comme CnC et peuvent être ajoutées en liste noire :

212.109.192.235
149.154.152.108

L'uri suivante semble stable. Elle peut servir de marqueur lors d'une investigation mais ne doit pas être mise en liste noire au risque de générer beaucoup de faux positifs.

/data/info.php

Solution

Mesures préventives

Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l'ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d'apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d'exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle.

Le CERT-FR recommande de configurer sur les postes de travail les restrictions logicielles pour empêcher l'exécution de code à partir d'une liste noire de répertoires :

  • Si la solution utilisée est AppLocker, les règles de blocage suivantes doivent être définies :
    • OSDRIVE\Users\*\AppData\
    • OSDRIVE\Windows\Temp\
  • Si les restrictions logicielles (SRP) sont utilisées, les règles de blocage suivantes doivent être définies :
    • UserProfile\AppData
    • SystemRoot\Temp

Il est important de vérifier que le service "Application Identity" (AppIDSvc) est paramétré en démarrage automatique sur l'ensemble des postes pour que les restrictions logicielles soient opérantes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows). Si des dysfonctionnements sont rencontrés suite au déploiement de ces règles de blocage, il est nécessaire d'identifier les applications légitimes situées dans ces répertoires, et de définir des règles en liste blanche afin d'autoriser leur exécution.

Le CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution. Par ailleurs, il convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier.

Enfin, le CERT-FR recommande d'effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu'elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production.

Mesures réactives

Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés. Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt. Le temps de revenir à une situation normale, le CERT-FR recommande également de positionner les permissions des dossiers partagés en LECTURE SEULE afin d'empêcher la destruction des fichiers sur les partages. Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement le partage. Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Le CERT-FR recommande également de bloquer sur le serveur mandataire l'accès aux domaines ou URLs identifiés dans le message malveillant. L'objectif est de prévenir toute nouvelle compromission sur le même site. En complément, le CERT-FR recommande de rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs. Par ailleurs, le CERT-FR recommande la réinstallation complète du poste et la restauration d'une sauvegarde réputée saine des données de l'utilisateur. De plus, dans le cadre de l'utilisation de profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes malveillants par ce biais.

Enfin, les fichiers chiffrés peuvent être conservés par la victime au cas où dans le futur, un moyen de recouvrement des données originales serait découvert.

Cette alerte sera maintenue tant que le volume de message électronique constaté sera considéré significatif par le CERT-FR.

Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTous les syst\u00e8mes d\u0027exploitations Windows peuvent \u00eatre  victimes de ce logiciel malveillant.\u003c/P\u003e",
  "closed_at": "2016-11-17",
  "content": "## Solution\n\n## Mesures pr\u00e9ventives\n\nLe CERT-FR recommande de sensibiliser les utilisateurs aux risques\nassoci\u00e9s aux messages \u00e9lectroniques pour \u00e9viter l\u0027ouverture de pi\u00e8ces\njointes. Il convient en effet de ne pas cliquer sans v\u00e9rification\npr\u00e9alable sur les liens de messages et les pi\u00e8ces jointes. Les\nutilisateurs ne doivent pas ouvrir des messages \u00e9lectroniques de\nprovenance inconnue, d\u0027apparence inhabituelle ou frauduleuse. Plus\ng\u00e9n\u00e9ralement, il convient de mettre \u00e0 jour les postes utilisateurs,\nnotamment le syst\u00e8me d\u0027exploitation et les applications expos\u00e9es sur\nInternet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans\nle cas o\u00f9 le code malveillant (ou une variante) exploiterait une\nvuln\u00e9rabilit\u00e9 logicielle.\n\nLe CERT-FR recommande de configurer sur les postes de travail les\nrestrictions logicielles pour emp\u00eacher l\u0027ex\u00e9cution de code \u00e0 partir\nd\u0027une liste noire de r\u00e9pertoires :\n\n-   Si la solution utilis\u00e9e est AppLocker, les r\u00e8gles de blocage\n    suivantes doivent \u00eatre d\u00e9finies :\n    -   OSDRIVE\\\\Users\\\\\\*\\\\AppData\\\\\n    -   OSDRIVE\\\\Windows\\\\Temp\\\\\n-   Si les restrictions logicielles (SRP) sont utilis\u00e9es, les r\u00e8gles de\n    blocage suivantes doivent \u00eatre d\u00e9finies :\n    -   UserProfile\\\\AppData\n    -   SystemRoot\\\\Temp\n\nIl est important de v\u00e9rifier que le service \"Application Identity\"\n(AppIDSvc) est param\u00e9tr\u00e9 en d\u00e9marrage automatique sur l\u0027ensemble des\npostes pour que les restrictions logicielles soient op\u00e9rantes (ce mode\nde d\u00e9marrage peut \u00eatre param\u00e9tr\u00e9 \u00e0 travers une politique de groupe sur\nle domaine Windows). Si des dysfonctionnements sont rencontr\u00e9s suite au\nd\u00e9ploiement de ces r\u00e8gles de blocage, il est n\u00e9cessaire d\u0027identifier les\napplications l\u00e9gitimes situ\u00e9es dans ces r\u00e9pertoires, et de d\u00e9finir des\nr\u00e8gles en liste blanche afin d\u0027autoriser leur ex\u00e9cution.\n\nLe CERT-FR recommande \u00e9galement de mettre \u00e0 jour les logiciels antivirus\ndu parc informatique (postes utilisateurs, passerelle de messagerie,\netc.). Le code malveillant \u00e9tant polymorphe, les \u00e9diteurs antivirus ont\nbesoin de publier des signatures en constante \u00e9volution. Par ailleurs,\nil convient d\u0027envoyer d\u00e8s que possible un exemplaire du code malveillant\n\u00e0 votre \u00e9diteur de logiciel antivirus si la variante n\u0027est pas d\u00e9tect\u00e9e\npar ce dernier.\n\nEnfin, le CERT-FR recommande d\u0027effectuer des sauvegardes saines et\nr\u00e9guli\u00e8res des syst\u00e8mes et des donn\u00e9es (postes de travail, serveurs)\npuis de v\u00e9rifier qu\u0027elles se sont correctement d\u00e9roul\u00e9es. Les\nsauvegardes ant\u00e9rieures ne doivent pas \u00eatre \u00e9cras\u00e9es (cas o\u00f9 une version\nchiffr\u00e9e aurait \u00e9t\u00e9 sauvegard\u00e9e). Les sauvegardes doivent \u00eatre r\u00e9alis\u00e9es\nen priorit\u00e9 sur les serveurs h\u00e9bergeant des donn\u00e9es critiques pour le\nfonctionnement de l\u0027entit\u00e9. Celles-ci doivent \u00eatre stock\u00e9es sur des\nsupports de donn\u00e9es isol\u00e9s du r\u00e9seau en production.\n\n## Mesures r\u00e9actives\n\nSi le code malveillant est d\u00e9couvert sur vos syst\u00e8mes, le CERT-FR\nrecommande de d\u00e9connecter imm\u00e9diatement du r\u00e9seau les machines\nidentifi\u00e9es comme compromises. L\u0027objectif est de bloquer la poursuite du\nchiffrement et la destruction des documents partag\u00e9s. Le CERT-FR\nrecommande aussi d\u0027alerter le responsable s\u00e9curit\u00e9 ou le service\ninformatique au plus t\u00f4t. Le temps de revenir \u00e0 une situation normale,\nle CERT-FR recommande \u00e9galement de positionner les permissions des\ndossiers partag\u00e9s en LECTURE SEULE afin d\u0027emp\u00eacher la destruction des\nfichiers sur les partages. Les personnels pourront continuer de\ntravailler localement et mettre \u00e0 jour ult\u00e9rieurement le partage. Aussi,\nle CERT-FR recommande de prendre le temps de sauvegarder les fichiers\nimportants sur des supports de donn\u00e9es isol\u00e9s. Ces fichiers peuvent \u00eatre\nalt\u00e9r\u00e9s ou encore \u00eatre infect\u00e9s. Il convient donc de les traiter comme\ntels. De plus, les sauvegardes ant\u00e9rieures doivent \u00eatre pr\u00e9serv\u00e9es\nd\u0027\u00e9crasement par des sauvegardes plus r\u00e9centes.\n\nLe CERT-FR recommande \u00e9galement de bloquer sur le serveur mandataire\nl\u0027acc\u00e8s aux domaines ou URLs identifi\u00e9s dans le message malveillant.\nL\u0027objectif est de pr\u00e9venir toute nouvelle compromission sur le m\u00eame\nsite. En compl\u00e9ment, le CERT-FR recommande de rechercher et supprimer\nles messages malveillants similaires dans les bo\u00eetes de messagerie des\nutilisateurs. Par ailleurs, le CERT-FR recommande la r\u00e9installation\ncompl\u00e8te du poste et la restauration d\u0027une sauvegarde r\u00e9put\u00e9e saine des\ndonn\u00e9es de l\u0027utilisateur. De plus, dans le cadre de l\u0027utilisation de\nprofils itin\u00e9rants, il convient de supprimer la copie serveur du profil\nafin de pr\u00e9venir la propagation des codes malveillants par ce biais.\n\nEnfin, les fichiers chiffr\u00e9s peuvent \u00eatre conserv\u00e9s par la victime au\ncas o\u00f9 dans le futur, un moyen de recouvrement des donn\u00e9es originales\nserait d\u00e9couvert.\n\nCette alerte sera maintenue tant que le volume de message \u00e9lectronique\nconstat\u00e9 sera consid\u00e9r\u00e9 significatif par le CERT-FR.\n",
  "cves": [],
  "links": [],
  "reference": "CERTFR-2016-ALE-006",
  "revisions": [
    {
      "description": "version initiale ;",
      "revision_date": "2016-09-05T00:00:00.000000"
    },
    {
      "description": "ajout marqueurs suppl\u00e9mentaires ;",
      "revision_date": "2016-09-07T00:00:00.000000"
    },
    {
      "description": "ajout marqueurs suppl\u00e9mentaires ;",
      "revision_date": "2016-09-30T00:00:00.000000"
    },
    {
      "description": "ajout marqueurs suppl\u00e9mentaires ;",
      "revision_date": "2016-10-03T00:00:00.000000"
    },
    {
      "description": "ajout marqueurs suppl\u00e9mentaires ;",
      "revision_date": "2016-10-05T00:00:00.000000"
    },
    {
      "description": "ajout marqueurs suppl\u00e9mentaires ;",
      "revision_date": "2016-10-12T00:00:00.000000"
    },
    {
      "description": "ajout marqueurs suppl\u00e9mentaires ;",
      "revision_date": "2016-10-24T00:00:00.000000"
    },
    {
      "description": "ajout marqueurs suppl\u00e9mentaires ;",
      "revision_date": "2016-10-27T00:00:00.000000"
    },
    {
      "description": "cl\u00f4ture de l\u0027alerte ;",
      "revision_date": "2016-11-17T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Installation d\u0027un logiciel malveillant de type zepto/odin"
    }
  ],
  "summary": "Marqueurs de t\u00e9l\u00e9chargement de charge mis \u00e0 jour le 27/10/2016.\n\n##### \u003cspan id=\"SECTION00040001000000000000\"\u003eMise \u00e0 jour du 27/10/2016\u003c/span\u003e\n\nLe CERT-FR constate une nouvelle campagne de courriels malveillants\ncontenant des pi\u00e8ces jointes au format ZIP. L\u0027archive contient un\nfichier de type JSE (Javascript Encode) ou WSF (Windows Script File)\nvisant \u00e0 t\u00e9l\u00e9charger une variante de Locky. Cette variante chiffre les\nfichiers de la machine et utilise l\u0027extension .shit.\n\n##### \u003cspan id=\"SECTION00040002000000000000\"\u003eMise \u00e0 jour du 24/10/2016\u003c/span\u003e\n\nLe CERTFR constate une nouvelle campagne de mails contenant des pi\u00e8ces\njointes .hta malveillantes en cours. Ces pi\u00e8ces jointes correspondent \u00e0\ndes fichiers html contenant du code Javascript t\u00e9l\u00e9chargeant le\nran\u00e7ongiciel.\n\n##### \u003cspan id=\"SECTION00040003000000000000\"\u003eMise \u00e0 jour du 30/09/2016\u003c/span\u003e\n\nLe CERTFR constate une nouvelle vague de mails contenant des pi\u00e8ces\njointes malveillantes en cours. Ces pi\u00e8ces jointes sont des documents\noffice contenant une macro VBA t\u00e9l\u00e9chargeant le ran\u00e7ongiciel Zepto.\nL\u0027extension utilis\u00e9e par le ran\u00e7ongiciel a chang\u00e9e depuis la derni\u00e8re\nvague pour devenir .odin. La liste des urls de t\u00e9l\u00e9chargement de charge\nest mise \u00e0 jour.\n\nDepuis le d\u00e9but septembre 2016, le CERT-FR constate \u00e0 l\u0027\u00e9chelle\nnationale une vague de pourriels dont le taux de blocage par les\npasserelles anti-pourriel est relativement faible. Ces pourriels ont\npour objectif la diffusion du ran\u00e7ongiciel Zepto.\n\nUn ran\u00e7ongiciel est un programme malveillant qui chiffre les donn\u00e9es du\nposte compromis. Il va \u00e9galement cibler les partages de fichiers\naccessibles depuis le compte utilisateur dont la session est compromise.\nCelui-ci est ex\u00e9cut\u00e9, dans le cas pr\u00e9sent, par une action de\nl\u0027utilisateur. La victime est ensuite invit\u00e9e \u00e0 verser de l\u0027argent afin\nque l\u0027attaquant d\u00e9chiffre les fichiers cibl\u00e9s.\n\nDans le cadre de cette campagne, et d\u0027apr\u00e8s les \u00e9chantillons que le\nCERT-FR a observ\u00e9s, la diffusion de Zepto s\u0027effectue par l\u0027interm\u00e9diaire\nd\u0027un pourriel contenant une archive. Cette archive contient un script\nWindows (extension .wsf) executant du Javascript. Le Javascript va\nensuite contacter un domaine pour r\u00e9cup\u00e9rer le Ran\u00e7ongiciel Zepto.\n\n\u00c0 l\u0027aide les \u00e9chantillons remont\u00e9s, le CERT-FR a constat\u00e9 que les URLs\nde t\u00e9l\u00e9chargement du binaire Zepto sont les suivantes :\n\n##### \u003cspan id=\"SECTION00040004000000000000\"\u003eT\u00e9l\u00e9chargement de charge au 27/10/2016\u003c/span\u003e\n\nURI de distribution de charge observ\u00e9e:\n\n    /t67bg\n    /t76f3g\n\nDomaines distributeur de charge (point d\u0027eau, site l\u00e9gitime compromis):\n\n    pkastrologer.com_BAD_\n    redsrev.com_BAD_\n    lancasternewcity.com.ph_BAD_\n    samspizzapasta.com_BAD_\n\nDomaine distributeur de charge:\n\n    duplespry.net_BAD_\n    arzunyolk.com _BAD_\n\n##### \u003cspan id=\"SECTION00040005000000000000\"\u003eT\u00e9l\u00e9chargement de charge au 24/10/2016\u003c/span\u003e\n\nURI obbserv\u00e9e:\n\n    /076wc\n\nDomaines observ\u00e9s:\n\n    3ainstrument.com._BAD_\n    abulhoul.ae._BAD_\n    bagnet.ir._BAD_\n    beyondhorizon.net._BAD_\n    castoncorporateadvisory.in._BAD_\n    checkimage.comuf.com._BAD_\n    cignitech.com._BAD_\n    cygnatech.com._BAD_\n    cynosurejobs.net._BAD_\n    dolphinom.com._BAD_\n    grupoecointerpreis.com._BAD_\n    hotel.comxa.com._BAD_\n    icclicks.com._BAD_\n    jhandiecohut.com._BAD_\n    ledenergythai.com._BAD_\n    naacllc.com._BAD_\n    nanrangy.net._BAD_\n    olpharm.com._BAD_\n    punjabipollywood.com._BAD_\n    sowkinah.com._BAD_\n    stock.comuf.com._BAD_\n    thaitooling.net._BAD_\n    wamasoftware.com._BAD_\n    wkreation.com._BAD_\n    www.jhandiecohut.com._BAD_\n    www.pspgemencheh.edu.my._BAD_\n    www.pspmrsmtumpat.com._BAD_\n    www.rawahyl.com._BAD_\n\n##### \u003cspan id=\"SECTION00040006000000000000\"\u003eT\u00e9l\u00e9chargement de charge au 12/10/2016\u003c/span\u003e\n\nURI observ\u00e9e:\n\n    /d5436gh\n\nDomaines observ\u00e9s :\n\n    eaglemouth.org_BAD_\n    dabihfluky.com_BAD_\n\n##### \u003cspan id=\"SECTION00040007000000000000\"\u003eT\u00e9l\u00e9chargement de charge au 03/10/2016\u003c/span\u003e\n\nURIs observ\u00e9es :\n\n    \\jhg45s\n\nDomaines observ\u00e9s :\n\n    acaciainvest.ro_BAD_\n    alraysa.com_BAD_\n    anthonycarducci.lawyerpublicity.com_BAD_\n    antiquescollectablesandjuststuff.com_BAD_\n    atronis.com_BAD_\n    bluewaterappco.com_BAD_\n    boservice.info_BAD_\n    catlong.com_BAD_\n    cedrussauna.com_BAD_\n    craftsreviews.com_BAD_\n    crossroadspd.com_BAD_\n    denvertracy.com_BAD_\n    dickenshandchimes.com_BAD_\n    dotcom-enterprises.com_BAD_\n    eidshow.com_BAD_\n    far-infraredsaunas.com_BAD_\n    foe-2.com_BAD_\n    gcandcbuilderssite.aaomg.com_BAD_\n    golfnauvoo.com_BAD_\n    hostmyimage.biz_BAD_\n    icdsarch.com_BAD_\n    ifsaiumumi.com_BAD_\n    inmopromo.com_BAD_\n    lesscellantshautegamme.ca_BAD_\n    maxleather.aaomg.com_BAD_\n    mmm2.aaomg.com_BAD_\n    monkeysdragon.net_BAD_\n    msurf.net_BAD_\n    new2.aaomg.com_BAD_\n    nonprofitbenefit.com_BAD_\n    nutrahacks.com_BAD_\n    orhangazitur.com_BAD_\n    parkerneem.com_BAD_\n    real-corp.info_BAD_\n    saunacushions.com_BAD_\n    slicktalk.net_BAD_\n    test.cedrussauna.net_BAD_\n    tsukasagiku.com_BAD_\n    villadiana.lv_BAD_\n    webhost911.com_BAD_\n\n##### \u003cspan id=\"SECTION00040008000000000000\"\u003eT\u00e9l\u00e9chargement de charge au 30/09/2016\u003c/span\u003e\n\nURIs observ\u00e9es :\n\n    \\021ygs7\n    \\bdb37\n    \\g76ub76\n\nDomaines observ\u00e9s :\n\n    0735home.com_BAD_\n    1maximus.ru_BAD_\n    368lx.com_BAD_\n    81millstreet.nl_BAD_\n    alliswelltour.com_BAD_\n    americanfancies.com_BAD_\n    amerikanservisi.com_BAD_\n    ampconnect.com_BAD_\n    anhsaodem.info_BAD_\n    aquatixbottle.com_BAD_\n    arbeit-von-zuhause.com_BAD_\n    askmeproperties.com_BAD_\n    atstory.com_BAD_\n    badminton2008.com_BAD_\n    bandbcreuse.com_BAD_\n    bdfxb.com_BAD_\n    beineinu.org_BAD_\n    birthstory.com_BAD_\n    brioconseils.com_BAD_\n    cafe-bg.com_BAD_\n    chchqq.com_BAD_\n    cmcomunicacion.es_BAD_\n    dedivan.ru_BAD_\n    delphinph.com_BAD_\n    demo.website.pl_BAD_\n    dfl210.ru_BAD_\n    ecoledesalsa.com_BAD_\n    econopaginas.com_BAD_\n    gadget24.ro_BAD_\n    game6media.com_BAD_\n    globalremoteservices.com_BAD_\n    gomelnaushnik.com_BAD_\n    hollywoodjesus.com_BAD_\n    ingpors.sk_BAD_\n    innogenap.com_BAD_\n    juyinggroup.com_BAD_\n    kashira.potolki.bz_BAD_\n    kelownatownhomes.com_BAD_\n    kolonker.com_BAD_\n    mahboob-e-rehmani.com_BAD_\n    nokianshop.com_BAD_\n    opmsk.ru_BAD_\n    parroquiansg.org_BAD_\n    pecschool.com_BAD_\n    purebanquet.com_BAD_\n    rikuzentakata-mpf.org_BAD_\n    rutlandhall.com_BAD_\n    slaterarts.com_BAD_\n    smokintech.com_BAD_\n    sonajp.com_BAD_\n    sotorentals.com_BAD_\n    studiorif.ru_BAD_\n    techsilicon.com_BAD_\n    teothemes.com_BAD_\n    travelinsider.com.au_BAD_\n    travicoperu.com_BAD_\n    undiaem.com_BAD_\n    unionathletica.com_BAD_\n    veganvet.net_BAD_\n    victorcasino.com_BAD_\n    w3hostingserver.com_BAD_\n    werix.sk_BAD_\n    www.sikharaprojects.com_BAD_\n    zdiaran.sk_BAD_\n\n##### \u003cspan id=\"SECTION00040009000000000000\"\u003eT\u00e9l\u00e9chargement de charge au 07/09/2016\u003c/span\u003e\n\n    around4percent.web.fc2.com_BAD_/j8fn3rg3\n    bostoncittyregenerww.com_BAD_/js/j8fn3rg3\n    kreativmanagement.homepage.t-online.de_BAD_/j8fn3rg3\n    marcotormento.de_BAD_/j8fn3rg3\n    maxshoppppsr.biz_BAD_/js/vf3gt4b4\n    michik.web.fc2.com_BAD_/j8fn3rg3\n    news.oboyle.ro_BAD_/myeyuum\n    sp-moto.ru_BAD_/j8fn3rg3\n    unimet.tmhandel.com_BAD_/j8fn3rg3\n    www.hestia-bewindvoering.nl_BAD_/j8fn3rg3\n    www.montegelato.it_BAD_/j8fn3rg3\n    www.termoalbiate.com_BAD_/uwmakrm\n    www.vilastefania.go.ro_BAD_/j8fn3rg3\n\nServeurs de Commande et de Contr\u00f4le au 07/09/2016 Selon nos analyses,\nles domaines sont g\u00e9n\u00e9r\u00e9s al\u00e9atoirement. Aucun domaine pertinent n\u0027est\npour l\u0027instant disponible.\n\nLes IPs suivantes sont susceptibles d\u0027\u00eatre contact\u00e9es comme CnC et\npeuvent \u00eatre ajout\u00e9es en liste noire :\n\n    212.109.192.235\n    149.154.152.108\n\nL\u0027uri suivante semble stable. Elle peut servir de marqueur lors d\u0027une\ninvestigation mais ne doit pas \u00eatre mise en liste noire au risque de\ng\u00e9n\u00e9rer beaucoup de faux positifs.\n\n    /data/info.php\n",
  "title": "Campagne de messages \u00e9lectroniques non sollicit\u00e9s de type Zepto/Odin",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.