et je l'ai ouvert dans une sandbox (environnement sécurisé) et au final il a créé à côté de l'HTML un Fichier ISO (une image d'un CDROM) qui contient un fichier VBS, Visual Basic Scripting.
Un fichier ISO, si on double-click dessus, plus trop sûr mais je crois qu'à une époque il pouvait lancer automatiquement ce qu'il y avait dedans. Et là un VBS c'est un exécutable.
Donc déjà non, je n'ai pas double cliqué dessus. Je l'ai ouvert avec 7zip.
Un extrait du VBS:
Bon je me suis arrêté là, pas sûr de ce que fait ce script et pas envie de le lancer.
Mais bon voilà ... un drôle de Phishing que je ne connaissais pas.
Déjà cette ligne
zEMz = replace("WsQGMcript.sQGMhEll","sQGM","s")
va se transformer en Wscript.shEll
qui plus loin dans le VBS va faire en gros un
WScript.CreateObject("WScript.Shell")
qui permet de lancer un exécutable sur votre ordinateur. Ici ça semble lancer alors un POWERSHELL (danger!) qui va faire un download d'un fichier "live.txt" (sur miravallesmarista.com dans le dossier images, pour les curieux) qui contient lui encore du Visual Basic ... dur à lire leur truc.
Je sauve le txt, et hop mon Windows Defender détecte le Trojan:Script/Oneeva.A!ml
Bon, email signalé !
Comme d'hab, take care, faîtes gaffe, doutez, ne cliquez pas partout, surtout dans l'urgence. Souvent l'origine du problème de piratage de nos ordis c'est nous-même (PEBKAC).