Mon autopsie de - Hmmm, connaissais pas ce genre de ... phishing / piratage ? Email -> fichier HTML -> ISO -> script(s) VBS

Ça commence par un email « vous avez fait un achat » ici de $446.79, vu le titre sur un machin porno.  Et le fameux

Ah ben si c'est une erreur, pas vous, ben il faut vite annuler en cliquant sur ...

Ici c'est un fichier attaché, un HTML

lifeisporno Support Isabella Bryceton 01.jpg

fichier soit disant un formulaire à remplir:

lifeisporno Support Isabella Bryceton 02.jpg

et je l'ai ouvert dans une sandbox (environnement sécurisé) et au final il a créé à côté de l'HTML un Fichier ISO (une image d'un CDROM) qui contient un fichier VBS, Visual Basic Scripting.
Un fichier ISO, si on double-click dessus, plus trop sûr mais je crois qu'à une époque il pouvait lancer automatiquement ce qu'il y avait dedans. Et là un VBS c'est un exécutable.
Donc déjà non, je n'ai pas double cliqué dessus. Je l'ai ouvert avec 7zip.

lifeisporno Support Isabella Bryceton 03.jpg

Un extrait du VBS:

lifeisporno Support Isabella Bryceton 04.jpg

Bon je me suis arrêté là, pas sûr de ce que fait ce script et pas envie de le lancer.
Mais bon voilà ... un drôle de Phishing que je ne connaissais pas.

Déjà cette ligne

zEMz = replace("WsQGMcript.sQGMhEll","sQGM","s")

va se transformer en Wscript.shEll qui plus loin dans le VBS va faire en gros un 

WScript.CreateObject("WScript.Shell")

qui permet de lancer un exécutable sur votre ordinateur.  Ici ça semble lancer alors un POWERSHELL (danger!) qui va faire un download d'un fichier "live.txt" (sur miravallesmarista.com dans le dossier images, pour les curieux) qui contient lui encore du Visual Basic ... dur à lire leur truc.
Je sauve le txt, et hop mon Windows Defender détecte le Trojan:Script/Oneeva.A!ml
Bon, email signalé !

 

Comme d'hab, take care, faîtes gaffe, doutez, ne cliquez pas partout, surtout dans l'urgence.  Souvent l'origine du problème de piratage de nos ordis c'est nous-même (PEBKAC).

Haut de page