Premier volume orienté sécurité avec le décorticage et l’analyse d’un mail de phishing visant à faire ouvrir un document par la cible.

Nous verrons les différentes étapes utilisées par le pirate pour masquer son objectif final.

Le mail d’arroche

It all starts with an email to try to create a “social link”.

Le fameux e-mail de phishing

So let’s be clear, this is not the most relevant hooking technique that I have seen. Several points should arouse doubt and suspicion

  • Le nom de l’expéditeur n’est pas pertinent en soi.
  • Le titre du mail ne l’est pas davantage surtout si la victime n’est pas anglophone.
  • La pièce jointe affiche clairement (sous Outlook) qu’il s’agit d’une page web grâce à l’affichage du logo du navigateur Microsoft Edge. Il y a bien une tentative maladroite de subterfuge sur l’extension du fichier. On peut ‘_xls’ faisant penser à un fichier Microsoft Excel mais il est suivi de la véritable extension du fichier ‘.HtMl’ ou ‘.html’ plus lisible.
  • Le corps du message n’est pas plus crédible avec un bonjour exprimé d’une façon incorrecte. Je ne m’appelle pas ‘Good Day’ (avec les majuscules) et la présence des ‘:’ ne se fait pas non plus dans une correspondance. Le reste du message est succin avec un FYI (For Your Attention / Pour Votre Information) et aucun nom.

A ce stade, les lumières rouges doivent déjà être allumées.

Voyons maintenant le contenu de la pièce jointe piégée d’un peu plus près

La pièce jointe

ATTENTION, l’analyse de la pièce jointe malveillante est réalisée par un professionnel dans un environnement technique spécifique. Elle est présentée ici dans un cadre purement éducatif.

De prime abord, la première lecture du fichier n’est pas particulièrement masquée.

Le contenu de la pièce jointe piégée

Le pirate aurait pu, par exemple, utiliser un compacteur de code pour obtenir quelque chose comme cela :

La pièce jointe optimisée

Cela rend le code un poil plus pénible à lire sans re-formateur de code. De plus, c’est bon pour la planète car cela représente moins de données à envoyer et donc moins de consommation de bande passante et donc d’électricité. Un jour peut-être les pirates se mettront au vert ? Qui sait ^^.

Déchiffrement du contenu

La première partie du chiffrement est du langage Morse. C’est pour le moins original. Une fois décodé, cela donne :

Les développeurs reconnaitront du codage ASCII classique en hexadécimal.

Un petit passage par HexDecoder pour voir apparaitre un peu plus de code :

Un peu de décodage ASCII

Maintenant, on voit qu’il s’agit encore de code Javascript encapsulant des caractères encodés au format HTML (&#).

Là encore, il faut traduire cela dans quelque chose de plus visuel en utilisant un autre site de traduction.

Les 2 scripts externes révélés

On voit donc que la pièce jointe fait appel à 2 fichiers Javascript situé sur un serveur distant. Ce serveur héberge des sites Javascript gratuitement pour le compte de tiers qui ne pourraient pas exécuter de Javascript sur leur hébergement. Au moment de la rédaction de cet article, leur site est hors-service. Leur site ressemblait encore à cela en janvier 2021 :

YourJavascript.com

Est ce que le site est tombé à cause d’un usage trop important de pirates ? Rencontre-t-il des problèmes de routage en France vers Orange ? En tout cas, le service est gratuit mais pas très tolérant aux pannes donc évitez de faire appel à ce type de service gratuit.

Pour le moment, il n’est donc pas possible de récupérer ces 2 fichiers Javascript pour décortiquer leur contenu.

La fin du fichier contient encore du Javascript encodé d’une autre manière.

Encore du Javascript

Le décodage en Base64 n’est pas compliqué non plus.

La première variable ‘ml’ est donc mon mail.

La seconde variable ‘logi’ est une URL pointant sur le logo de Nolmë Informatique en utilisant l’API de ClearBit donnant l’URL https://logo.clearbit.com/nolme.com

Le logo de l’entreprise et le mail de la victime sont injectés dans le document HTML généré lors de l’ouverture de la pièce jointe piégée.

Analyse

Les 2 fichiers Javascript distants n’étant pas disponibles, on peut supposer que l’attaquant vise à reproduire un document ‘officiel’ pour collecter un mot de passe de messagerie probablement.

Affaire à suivre pour une prochaine analyse…


Vincent Duvernet

Passionné d'informatique depuis mon plus jeune âge. J'aime tester, bidouiller et coder. Je suis aussi l'administrateur du portail 1001nordiques.com, l'un des plus important sites dédié aux chiens nordiques.

0 Commentaire

Laisser un commentaire