Nous verrons les différentes étapes utilisées par le pirate pour masquer son objectif final.

Le mail d’arroche

It all starts with an email to try to create a « social link ».

So let’s be clear, this is not the most relevant hooking technique that I have seen. Several points should arouse doubt and suspicion

• Le nom de l’expéditeur n’est pas pertinent en soi.
• Le titre du mail ne l’est pas davantage surtout si la victime n’est pas anglophone.
• La pièce jointe affiche clairement (sous Outlook) qu’il s’agit d’une page web grâce à l’affichage du logo du navigateur Microsoft Edge. Il y a bien une tentative maladroite de subterfuge sur l’extension du fichier. On peut ‘_xls’ faisant penser à un fichier Microsoft Excel mais il est suivi de la véritable extension du fichier ‘.HtMl’ ou ‘.html’ plus lisible.
• Le corps du message n’est pas plus crédible avec un bonjour exprimé d’une façon incorrecte. Je ne m’appelle pas ‘Good Day’ (avec les majuscules) et la présence des ‘:’ ne se fait pas non plus dans une correspondance. Le reste du message est succin avec un FYI (For Your Attention / Pour Votre Information) et aucun nom.

A ce stade, les lumières rouges doivent déjà être allumées.

Voyons maintenant le contenu de la pièce jointe piégée d’un peu plus près

La pièce jointe

ATTENTION, l’analyse de la pièce jointe malveillante est réalisée par un professionnel dans un environnement technique spécifique. Elle est présentée ici dans un cadre purement éducatif.

De prime abord, la première lecture du fichier n’est pas particulièrement masquée.

Le pirate aurait pu, par exemple, utiliser un compacteur de code pour obtenir quelque chose comme cela :

Cela rend le code un poil plus pénible à lire sans re-formateur de code. De plus, c’est bon pour la planète car cela représente moins de données à envoyer et donc moins de consommation de bande passante et donc d’électricité. Un jour peut-être les pirates se mettront au vert ? Qui sait ^^.

Déchiffrement du contenu

La première partie du chiffrement est du langage Morse. C’est pour le moins original. Une fois décodé, cela donne :

Les développeurs reconnaitront du codage ASCII classique en hexadécimal.

Un petit passage par HexDecoder pour voir apparaitre un peu plus de code :

Maintenant, on voit qu’il s’agit encore de code Javascript encapsulant des caractères encodés au format HTML (&#).

Là encore, il faut traduire cela dans quelque chose de plus visuel en utilisant un autre site de traduction.

On voit donc que la pièce jointe fait appel à 2 fichiers Javascript situé sur un serveur distant. Ce serveur héberge des sites Javascript gratuitement pour le compte de tiers qui ne pourraient pas exécuter de Javascript sur leur hébergement. Au moment de la rédaction de cet article, leur site est hors-service. Leur site ressemblait encore à cela en janvier 2021 :

Est ce que le site est tombé à cause d’un usage trop important de pirates ? Rencontre-t-il des problèmes de routage en France vers Orange ? En tout cas, le service est gratuit mais pas très tolérant aux pannes donc évitez de faire appel à ce type de service gratuit.

Pour le moment, il n’est donc pas possible de récupérer ces 2 fichiers Javascript pour décortiquer leur contenu.

La fin du fichier contient encore du Javascript encodé d’une autre manière.

Le décodage en Base64 n’est pas compliqué non plus.

La première variable ‘ml’ est donc mon mail.

La seconde variable ‘logi’ est une URL pointant sur le logo de Nolmë Informatique en utilisant l’API de ClearBit donnant l’URL https://logo.clearbit.com/nolme.com

Le logo de l’entreprise et le mail de la victime sont injectés dans le document HTML généré lors de l’ouverture de la pièce jointe piégée.

Analyse

Les 2 fichiers Javascript distants n’étant pas disponibles, on peut supposer que l’attaquant vise à reproduire un document ‘officiel’ pour collecter un mot de passe de messagerie probablement.

Affaire à suivre pour une prochaine analyse…

L’article Hacking#01 – phishing + javascript (analyse) est apparu en premier sur Nolmë Informatique.

Dites NON au SPAM!

Le harcèlement par voie électronique ou par fax est aujourd’hui quelque chose de courant. Malheureusement, il est de plus en plus difficile de lutter contre ces sociétés basées à l’étranger qui pratiquent ce que l’on appelle communément le SPAM.

Les techniques de ventes se diversifient mais mènent la plupart du temps toujours au même résultat à savoir un service douteux. C’est le cas du groupe Media Contact ltd. Basée en dehors de l’Europe, cette société tente de vendre sa base de données d’entreprises avec des méthodes plus que discutables. Leur mode de prédilection étant le fax et l’e-mail mais aussi de multiples sites webs. On retrouve leurs publicités sur des forums/newgroups qui ne sont pas modérés augmentant ainsi leur référencement sur les moteurs de recherche comme Google.

Après les avoir contactés à plusieurs reprises de façon courtoise au début (sans réponse) et ensuite de manière plus agressive ensuite (là on arrive à obtenir des réponses bizarrement), ils refusent de modifier leurs bases. On en revient à rêver encore de la solution de BlueFrog de 2006.

Voici une liste non exhaustive des domaines (puisqu’ils en possèdent entre 200 et 300) qu’ils utilisent et qu’il conviendrait d’éviter pour ne pas se faire avoir :

http://groupe-mediacontact.com/
http://www.mediacontactltd.com
http://www.pro-activemail.com/
http://www.proactive-mail.com/
http://www.guidedesprestataires.com
http://www.pro-activefax.com/
http://www.proactive-fax.com/
http://www.proacti1.com
http://www.proacti2.com
http://www.proacti3.com
http://www.proacti4.com
http://www.proacti5.com
http://www.corelgdp.com
http://www.graphe-net.com
http://www.pro-email.net/
http://www.groupe-mediacontact.com/
http://www.reception-faxtomail.com
http://www.resaff.com/proactive-fax
http://www.emailprospection.com
http://www.guidedumail.com
http://www.ebus-mailing.com

Voici quelques e-mails qu’ils utilisent et qui sont généralement des alias re-routés vers la même personne (qui pour l’occasion change donc rapidement de sexe) :

service.client@mediacontactltd.com
corinne@ebus-mailing.com
fabrice@mediacontactltd.com
lea.halimi@proacti4.com
sylvie@corelgdp.com
faxmailing@graphe-net.com
rebbeca.delcourt@net-messages.net
info@proacti1.com

Je continue la longue énumération en passant par les numéros de téléphone :

01 70 37 62 01
01 73 79 00 34
01 73 79 00 35
01 74 900 701
01 74 900 705
01 74 900 718
01 79 97 69 40
01 79 97 69 41
01 79 97 69 46
01 79 97 69 48

Voici quelques sites ou internautes qui semblent aussi d’accord avec notre point de vue :

http://www.rentabilisez.com/forum/index.php?showtopic=37482&pid=313219&st=0&#entry313219
http://spamnation.info/go/domain/proactive-mail.com
http://www.webworkerclub.com/forum/topic,73385,40.html

Vous êtes maintenant prévenus, faites passer le mot…

Vincent

Edit : 2009/11/02

Cela fait 2 messages de modération que nous recevons de Buro-Bram. Non seulement ils ne seront pas publiés tellement ils sont bourrés de fautes mais surtout, bizarrement, l’émetteur est situé loin, très loin… Ça se passe de commentaire.

Edit : 2009-11-05

A lire les commentaires, il semblerait que la position de ce billet sur Google ai changé un peu la donne et que MediaContact soit plus enclin à négocier. Pourtant voici quelques preuves indiquant que nos demandes ont bien été lu et absolument pas prises en compte depuis 2007. On note aussi les retours du serveur de messagerie pour boite mail pleine. Je peux encore creuser pour voir jusqu’en 2004 au besoin…

Concernant M Azoulay, peut-il nous expliquer pourquoi il indique le mail de Fabrice de Media Contact? Il n’a pas de budget pour avoir son propre mail ? Ça coute trop cher peut-être ? Pourquoi voit-on apparaitre l’IP de Proacti5.NET ? Nous savons que le ridicule ne tue pas mais quand même…

On tape là où ça fait mal. Si on cherche sur Google : Spam Media contact, cet article arrive maintenant en 1ère position. Vos tentatives d’argumentaires sont fausses, vos méthodes de désabonnement ne fonctionnent pas et d’autres experts en sécurité informatique vont dans notre sens.

Edit : 2010-05-11

notre croisade contre ce spammer semble régulièrement susciter de l’intérêt de le part d’internautes lésés. L’épisode d’aujourd’hui s’appelle Serge. Il prétend travailler avec ce groupe avec de bons retours. Il semblerait que les seuls personnes ayant des bons retours soient toutes situées dans le même pays, curieux non ?

Traceroute_sergeter26@yahoo.fr_2010-05-11

L’article Halte au spam du groupe Media Contact ltd est apparu en premier sur Nolmë Informatique.