Des e-mails contenant des liens malveillants exploitent l’explosion à Waco, Texas

Le jourmême où une campagne de spam utilisait la tragédie de Boston pour diffuser un logiciel malveillant, nous avons repérer une deuxième vague similaire de spam.

Cette seconde campagne utilise l’explosion qui a eu lieu dans une usine d’engrais à Waco, Texas, U.S.A.

Les e-mails utilisent le même modèle que précédemment avec comme object : « Waco explosion HD », « Raw: Texas Explosion Injures Dozens » … Ils contiennent le même type d’URL composé d’une adresse IP et d’un fichier.

1

Le lien redirige vers des sites Web cibles qui  montrent des vidéos de l’explosion et plusieurs interviews collectées sur YouTube.

La charge malveillante est diffusée de la même manière que la précédente attaque :

  • Faille Java (dans la photo ci-dessous qui par ailleurs n’est plus disponible sur le site qui l’hébergeait)
    • 47dc82e5b451bce5f40fa8dc890310d5 *Anau.class
    • 69333fdd3aaab29ed4bcdfaa42ed8e28 *barks.class
    • 5b84ea75fb42a1953a4c5bef516f873e *Code.class
    • 00954374c3a4e6cfc2823850c02a83c8 *Doitfore.class
    • 763ff5e1a1ad65dc8c1e21a13c484154 *Hluiak.class
    • 975bc1f970f661d6da16c26fb27f8c3c *Hujter.class
    • 254d4b4a61a5ab90192994a7f9a79491 *Kivib.class
    • dccfc30208ef0d4a6a4ade01666355b8 *Monoa.class
    • 4a3c45a062fe7a88a2e4ecdb52678542 *Nespeho.class
    • f67c5de1b1691ed989921db0d8ba8fe3 *OItyep.class
    • b82e7b290e5c0c3f0c9251d0c8a4bc17 *Senna.class
    • 90d24d49c3d8188690a3c03262f8a55a *Szux.class
    • (and many others)
  • fichiers exécutables déposés
  • 58971f985efb7ae05fc01d334719f427 *fuwqj.exe
  • 3ef06bae42ba35e0a1a1da4a587b87da *lrwtv.exe
  • 77b46f1e9c23632e8fe093e877df7523 *temp86.exe
  • (et bien d’autres)

ps3

Tous les logiciels d’Avira détectent ces fichiers comme TR/Motsob.*, et tous les sites Web intermédiaires sont aussi détectés comme HTML/Blacole.* et HTML/iFrame.* (‘*’ signifie qu’il existe plusieurs variantes du même logiciel malveillant).

Un grand merci à Jason Soo du VLAB de Kuala Lumpur pour cette analyse rapide.

 

Sorin Mustaca

IT Security Expert