Autopsie d'un mail dangereux

Publié le 04/05/2015

La fréquence de réception de mail de fishing ou contenant des pièces jointes dangereuses augmente significativement. Un exemple? Bien, procédons donc à l'autopsie d'un email reçu ce week-end et qui s'avère pour le moins... surprenant :

Bien évidement, la demande contenu dans le corps de message du mail incitre à ouvrir la pièce jointe "formulaire.html". Que contient donc ce formulaire?

A priori, rien de bien méchant : du code pour "informaticien"... Analysons donc un peu ce code :

1. Une variable jsESC est construite.
2. Le formulaire cherche à afficher le contenu de la chaine (document.write) contenu dans la variable "jsESC" en la décryptant via la méthode "unescape".
Tiens... tiens... mais serait-on en présence d'une tentative d'obfuscation? (Cette méthode d'obfuscation est, par exemple, détaillée par là ).

La variable jsESC contient donc du code caché :

Si l'on pousse l'analyse, on pourra découvrir que ce code renvoi donc

* Vers un lien TinyURL : http://tinyurl.com/7lje6rk' (NB : TinyURL est un service web de réduction d'URL)
ce lien renvoi en fait sur "https://html-encrypter.googlecode.com/svn/trunk/hea2.js"
* Une clef de chiffrement : hea2p (une clef de 60 caractères, soit dit en passant!)
* Un message chiffré en AES 256 : hea2t
Enfin, l'exécution du message chiffré via son déchiffrement : Aes.Ctr.decrypt(hea2t, hea2p, 256)

Cette méthode est détaillée, entre autre, par Chris Veness dans son article.
Il facile de décrypter le message hea2t en utilisant la méthode decrypt de Chris Veness, fourni sur le "https://html-encrypter.googlecode.com/svn/trunk/hea2.js" déjà mentionné. On obtient alors le code suivant :

Soit le site affiché suivant (aux images près, la VM de test n'étant évidemment pas relié au reseau :) )

On peut remarquer, entre autre, que les images sont situées à une adresse surprenante :

Encore plus surprenant, ce nom de domaine est hébergé chez ... OVH!

Mais continuons à approfondir...
Si l'on saisit des identifiants, comme demandé, on accède à une page demandant ... notre état civil!

Avant d'arriver, carrement, à la demande des identifiants de carte bleue code y compris!

Le fait de cliquer sur le "Submit" permet donc l'exfiltration de tous vos renseignements! sur le même site exotique "http://sppemldomlzkkkdppmmslsl873279320jkdsj837283.com/"

Conclusion :
Bien que ce mail soit particulier mal fait - adresse expéditeur ne correspondant pas au corps de mail, demande de cliquer sur un fichier html!, sans compter le fait qu'il ne soit pas ciblé!, etc.- il reste néanmoins dangereux : un utilisateur peu attentionné aurait dans notre cas transmis l'ensemble de ses informations - identifiant et mot de passe d'accès à sa banque, identifiants personnels et même numéro de carte bleue!
Plus que jamais, il faut Faire preuve de prudence avec le courrier électronique

Voir les conseils de l'ANSSI : ici.
Ou ceux de la suisse MELANI : là .

Plus d'information sur le site dédié à la lutte contre le fishing (en anglais).