Vague de spams sur fond de fausses factures

Vague de spams sur fond de fausses factures

Qui ne tente rien...

Avatar de l'auteur
David Legrand

Publié dans

Internet

15/07/2015 2 minutes
134

Vague de spams sur fond de fausses factures

Si les spams sont toujours monnaie courante, tout comme les tentatives de phishing, on note parfois quelques campagnes massives. C'est ce qu'il semble se passer depuis peu avec des emails évoquant des factures à régler.

« Salut, Il parait que tu recherches la facture avec les Rimauresq Rosé et Blanc? La voici en pièce jointe. Veux-tu que je te la remette au courrier également? Otha Salazar »

« Bonjour, ci-joint le duplicata de la facture du mois de juillet 2015. Après vérifications, je n'ai pas eu le règlement. Serait-il possible de l'avoir dans la semaine qui vient. Merci par avance. Cordialement. Melinda Lawson »

Vous aussi vous avez reçu de tels emails ? Depuis ce matin, de nombreux internautes se plaignent de recevoir ce genre de message en français évoquant une facture à régler, avec un fichier Word infecté placé en pièce jointe. Comme souvent, il ne s'agit que de chercher à tromper les utilisateurs en misant sur la faiblesse de la minorité qui prendra ces emails pour argent comptant et ouvrira la soi-disant facture.

Rien de bien nouveau, si ce n'est que cette campagne semble plutôt massive comme on peut le noter dans plusieurs témoignages sur Twitter. Une précédente vague avait été détectée le mois dernier. Comme souvent, le mieux reste de placer ces emails dans les courriers indésirables voir de les signaler aux équipes de la plateforme Signal Spam.

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (134)


déjà 3 du même types depuis ce matin dans la boite mail du boulot (1 bloqué par l’antispam)

 




  • après verif il propose même de ce déplacer pour récup le pognon <img data-src=" />


J’ai déjà payé au moins 2 ou 3000€ à Melinda Lawson, elle commence à me gaver.


Poubelles directe, mais pas beaucoup en réception vu ma pléthore de mail jetable.<img data-src=" />


J’en recois regulierement depuis des semaines sur le mail du boulot, et aujourd’hui sur ma perso j’ai

&nbsp;“Pierre-Jean CREPIN, Trésorier du CNOP&nbsp;”&nbsp;qui m’envoit sa facture….&nbsp;<img data-src=" />


Pas eu sur mon compte poubelle, ni sur les autres d’ailleurs…



Mais bon, ça ne veut pas dire que je vais rester indemne. A surveiller.








Commentaire_supprime a écrit :



Pas eu sur mon compte poubelle, ni sur les autres d’ailleurs…







Pareil <img data-src=" />



Rien reçu non plus, mis à part les habituels mails pour des pilules bleues et des agrandisseurs de pénis, dus au tracking publicitaire.








barlav a écrit :



J’en recois regulierement depuis des semaines sur le mail du boulot, et aujourd’hui sur ma perso j’ai

 ”Pierre-Jean CREPIN, Trésorier du CNOP ” qui m’envoit sa facture…. <img data-src=" />





Pourtant tu peux y aller, c’est une lumière ce gars <img data-src=" />



<img data-src=" /> Rien eu. Déception …



Par contre j’ai souvent du bon vieux phishing à la CB avec des faux mail FREE, SFR ou de banques comme BNP ou LCL.



C’est con je suis chez aucun <img data-src=" />


Quel est l’utilté de la plateforme Signal-Spam ?

&nbsp;

&nbsp;Elle ne produit rien, n’offre pas de service de reputation du type spamhaus, se contente telle de recolter des spams pour alimenter les filtre bayesiens de ses membres sponsor/contributeur ?

&nbsp;



&nbsp;Par le passé il y’a eu un addon pour Outlook, mais concretement elle sert a quoi ?








ActionFighter a écrit :



Rien reçu non plus, mis à part les habituels mails pour des pilules bleues et des agrandisseurs de pénis, dus au tracking publicitaire.





Toi, tu n’as pas été tracké sur des site de pêche à la mouche <img data-src=" />



Quand tu reçois une fausse facture de by6m4l10n, tu sais que PJ n’est plus très loin.


Reçu en plusieurs exemplaires. Par rapport à de nombreuses campagnes de spam/phishing, celui-ci a des mail rédigés de manière plausible. Donc oui, ça va faire des ravages.

&nbsp;


J’en reçois pas mal sur mon adresse professionnelle :

&nbsp;

“Bonjour,



Veuillez trouver ci-joint copie d’une facture pour un travail urgent demandé auprès de Julien.



&nbsp;L’originale est dans la bannette dans le bureau de Stéphanie.



&nbsp;Merci



Pauline DUNTZ”

&nbsp;



Quand j’ai reçu le 1er, je me suis vraiment demandé si c’était du SPAM, car quand tu bosses avec des clients, ca arrive de recevoir des mails de ce type.

&nbsp;


Salut, de mon côté, dans ma boite, c’est massif : environ 60 personnes sur 250 l’auraient reçu sans notre serveur antispam. Par contre ras sur mes gmail/hotmail perso.

&nbsp;


Idem depuis 2 ou 3 semaines environ,&nbsp; j’ai eu le droit à “Pierre-Jean CREPIN” qui me demande aussi de l’argent… Il est partout ce type. <img data-src=" />


Ah, ouais, quand je vois que vous en parlez le jour même, je me sens heureux de n’en avoir reçu que 3 jusqu’à maintenant !


Déjà 5 reçus depuis ce matin sur une des boîtes du boulot, certains sont bien faits quand même j’ai failli y croire par moment.








trash54 a écrit :



déjà 3 du même types depuis ce matin dans la boite mail du boulot (1 bloqué par l’antispam)

&nbsp;




  • après verif il propose même de ce déplacer pour récup le pognon <img data-src=" />





    Je suis sûr que ce commentaire est aussi du spam. Je le reconnais aux fautes d’orthographe.



C’est une véritable plaie cette pluie de spam :

domaine perso sur Google apps = 100% des mails sont tagués spam (Gmail indique même “Virus détecté” dans le .doc en PJ),

mais domaine pro au boulot = même pas 50% des spam sont tagués (SpamAssassin/ClamAV up2date en frontal derrière un Exchange 2K7 avec les filtres antispam activés) et sur environ 200 users, bah 50 ont ouvert le .doc en PJ… (malgré un mail général de la DSI ce matin…) <img data-src=" />

&nbsp;

<img data-src=" />








reno31 a écrit :



Quel est l’utilté de la plateforme Signal-Spam ?

 

 Elle ne produit rien, n’offre pas de service de reputation du type spamhaus, se contente telle de recolter des spams pour alimenter les filtre bayesiens de ses membres sponsor/contributeur ?







De ce que je vois, c’est tourné “utilisateur/M. Michu”. Les services types Spamhaus, c’est bien mais 1/ c’est plus réservé aux sysadmin et 2/ En général, ce sont des structures fermés qui cherchent le spam par eux même




5 reçus dans ma boîte mail pro depuis ce matin, 0 taggé en spam et l’antivirus a rien détecté.

&nbsp;Parfait, tout va bien&nbsp;<img data-src=" />


Que contient le fichier Word techniquement ?


Quasi une 20aine depuis ce matin, c’est la fête… Avant c’était 23 par jour.








Myze a écrit :



Idem depuis 2 ou 3 semaines environ,&nbsp; j’ai eu le droit à “Pierre-Jean CREPIN” qui me demande aussi de l’argent… Il est partout ce type. <img data-src=" />





Si le mail vient de Paul BISMUTH, c’est pas du spam ? &nbsp;<img data-src=" />



Il tente de tomber sur des crétin vu son nom.<img data-src=" />


Bonne question, je l’utilise parce que ça me prend que une seconde à copy/paste la source du mail, mais jamais vu de résultat.



J’utilise aussi Phishing Initiative pour le phishing.


Rien chez moi. Juste le sempiternel mail comme quoi ils n’ont pas réussi à prélever sur mon compte Free Mobile, mail qui remplace celui d’EDF (d’ailleurs, les liens sont les mêmes, toujours edf dans l’URL <img data-src=" />)








Berri-UQAM a écrit :



Que contient le fichier Word techniquement ?





Ça :https://www.virustotal.com/



Sur les adresses générales des société c’est pas mal non plus.

&nbsp;300 users qui l’ont reçu et les réponses du genre “oups” “trop tard” au mail de mise en garde ça fait toujours plaisir.




Comme souvent, le mieux reste de placer ces emails&nbsp;dans les courriers

indésirables voir de les signaler aux équipes de la plateforme&nbsp;Signal Spam.



&nbsp;

&nbsp;Je signaler les spams à ce service depuis ces débuts (ça doit dater de 5 ou 6 ans). Je n’ai pas l’impression que ce soit efficace, ils ne font aucune communication visant à dire l’avancée du projet, s’il y a des condamnations, l’intégration à de nouveaux services,… Est-ce que c’est un vrai service derrière ? J’ai l’impression que c’est un trou noir… Leur site affiche 3 actus sur les 8 derniers mois <img data-src=" />


Le meilleur anti-virus reste entre la chaise et le clavier <img data-src=" />








John Shaft a écrit :



Le meilleur anti-virus reste entre la chaise et le clavier <img data-src=" />





Et virer Outlook qui te prévisualise les .doc avec les bons macro virus qui vont bien…



Mon patron s’est fait avoir par un mail comme ça. Il ne connaissait pas l’expéditeur, qui avait une adresse en .de, mais il a cliqué quand même. PC bon à restaurer, tout était bloqué.

&nbsp;

Certains n’ont pas les notions de base de sécurité, ils ouvriraient leur porte à n’importe qui…


Si vous voulez leur poser des questions :&nbsphttps://twitter.com/signalspam <img data-src=" />








kade a écrit :



J’ai déjà payé au moins 2 ou 3000€ à Melinda Lawson, elle commence à me gaver.







Ah tiens, c’est marrant ça, moi c’est elle qui me paye. Non, je ne dirai pas pourquoi <img data-src=" />



Pour utiliser Outlook, il faudrait déjà que ce logiciel sache faire du mail correctement <img data-src=" />


Tu es gigolo ? <img data-src=" />



<img data-src=" />


En tout cas le bot a l’air de déconner, tous les .doc que j’ai reçu sont corrompus (regardés dans un éditeur hexa, j’suis pas fou)


Plus de 4semaines qu’on reçoit ce type de mail a la boite …








John Shaft a écrit :



Pour utiliser Outlook, il faudrait déjà que ce logiciel sache faire du mail correctement <img data-src=" />





Ah bah ça, complètement d’accord, mais bon dans le monde de l’entreprise va leur faire comprendre que si ça déconne c’est pas la faute à l’email en lui même mais la bouse qu’ils utilisent pour le réceptionner/envoyer/lire…









John Shaft a écrit :



Tu es gigolo ? <img data-src=" />



<img data-src=" />







Tout de suite, les grands maux mots <img data-src=" />



Oui, les vieilles habitudes ont la vie dure <img data-src=" />


Question sérieuse : Lotus Notes est mieux ? Parce que c’est la seule alternative que j’ai vu en entreprise.


Ben c’est surtout que dans le monde de l’entreprise “classique” c’est de windows et de l’office. Les nons informaticiens y sont habitués depuis l’enfance et faut surtout, mais surtout pas changer les habitudes hein (j’vois ça avec le passage XP vers win7 ^^).



Donc c’est pas près de changer dans les entreprises “classiques” malheureusement.


50 personnes ? Mais c’est un massacre ! <img data-src=" /> Si c’est le même cas dans toutes les boîtes, ça va être un beau bordel.


&nbsp;Vu les montant réclamés ça vise clairement les pros, y’a vraiment des comptables qui se laissent avoir ?

&nbsp;



&nbsp;J’imagine la scène :




  • Ohlàlà ça n’en finissait pas aujourd’hui, j’ai reçus des relances de factures pour plus de 60000€&nbsp; par mails, j’ai tout payé !

  • Le Patron&nbsp; :

    &nbsp;

    :eek:


Pareil depuis ce matin au boulot, et notre solution anti-spam dit amen à tout.&nbsp;

&nbsp;

Gmail détecte déjà les fichiers en questions comme “infecté”.

&nbsp;

&nbsp;Par contre, je suis intéressé de savoir ce que fait le VB dedans, j’ai pas réussi à ouvrir avec oledump :(


Ah donc je ne suis pas le seul, je viens de passer une heure à vérifier la conf de l’antispam…








megatom a écrit :



J’en reçois pas mal sur mon adresse professionnelle :

&nbsp;



Quand j’ai reçu le 1er, je me suis vraiment demandé si c’était du SPAM, car quand tu bosses avec des clients, ca arrive de recevoir des mails de ce type.

&nbsp;





Moi aussi, j’en ais reçu plein depuis ce matin … mais comme je suis un peu au courant des factures en retard, j’ai tout mis à la poubelle direct ! <img data-src=" />



vu le dernier reçu oui c’est pour les entreprises (histoire d’avoir de compta et autres dans le message)


Bizarre, reçu deux ce matin sur une boite que je n’utilise que très rarement…


reste plus qu’a prévenir la famille pour éviter qu’il ne foutent le bordel sur leurs PC …


j’avoue que l’on prend une jolie vague, beaucoup de personnes INpacté en interne mais étonnamment peu de victimes&nbsp;<img data-src=" />

&nbsp;



&nbsp;Le Rimauresq Rosé et Blanc, un choix qui ne semble pas fonctionner <img data-src=" />


Le .doc contient une macro VBA “inoffensive” (=pas bloquée par les antispam) qui, si elle est exécutée, va télécharger le “vrai virus” directement depuis internet.

&nbsp;


Je me disais aussi, j’en ai reçu un il y a 3 semaines…. mais quand je connais pas, poubelle.








Dedrak a écrit :



Question sérieuse : Lotus Notes est mieux ? Parce que c’est la seule alternative que j’ai vu en entreprise.





Je ne sais pas trop si ça s’est amélioré, mais à une époque c’était bien pire qu’Outlook !

&nbsp;



&nbsp;(Je me rappelle d’il y a 14 ans dans une boite, ils appelaient les emails des “lotus” vu qu’ils utilisaient Lotus notes)



Vérifié mes trois comptes spammables, RAS.



Rien sur mes deux outlook/hotmail.


soit pas si triste <img data-src=" />


En parlant d’outlook, les comptes qui sont créer pour l’activation des win 8.1 et futur 10, si sont jamais utilisés sont ils désactivé?


Une petite explication sur le fonctionnement du spam :&nbsphttp://christophe.rieunier.name/securite/Dridex/20150608_dropper/Dridex_dropper_…


La version utilisée par EDF (la v7) est bien pourrie. Du coup les gens sont contents de passer à Outlook.

&nbsp;

Quelle alternative est meilleure et déployable au niveau d’une entreprise ?


Pas reçu. Mon seul spam du jour c’est une chanteuse irakienne qui a le cancer et qui veut faire un transfert de fond… la routine, quoi.


C’est dingue ce sentiment d’abandon quand même les spammeurs ne visent pas nos petits comptes persos n’est-ce pas ? <img data-src=" />


Méthode de désinfection mais j’ai pas testé puisque je ne suis pas tombe dans le panneauhttp://www.netstaff.fr/blog/?p=717


Ah, ben moi ici au boulot (mairie), ça fait déjà 3 ou 4 semaines qu’ils nous harcèlent ! De 3 à 10 mails du genre, par jour et par boite mail… J’ai du expliquer 5 fois qu’il ne fallait pas les ouvrir, une chance Kaspersky empêche l’ouverture des fichiers, j’ai eu chaud lol !


6 adresses mail + des jetables à l’infin, 1 à 2 spam par semaine en tout, aucun de ce genre ces derniers jours, je croise les doigts…








trash54 a écrit :



soit pas si triste <img data-src=" />







Je suis plutôt content.



Faut croire que s’intéresser aux trains anglais, ça n’attire pas les spammeurs…



&nbsp;

&nbsp;

Rien sur mon compte hotmail.

&nbsp; Sans doute dû au scan de la NSA intégré à ma boite mail.

&nbsp;

&nbsp;Perso, on a beau critiquer les ricains, ils font bien leur job quand même.

&nbsp;

<img data-src=" />

&nbsp;


L’aperçu n’exécute pas les macros.


non, c’est impossible dans le processus comptable :

&nbsp;

-devis

-commande + numéro de commande&nbsp;




  • BL avec numéro de commande

  • bon de réception de marchandise

    &nbsp;-réception de&nbsp;facture avec dans la main l’ensemble des documents ci dessus.

    &nbsp;

    &nbsp;dans mon cas si une somme ne correspond pas, ou si le numéro de commande est absent du BL -&gt; hop ca repart&nbsp;

    &nbsp;facture sans numéro de commande -&gt; &nbsp;même pas regardé.

    &nbsp;&nbsp;même en cas d’erreur sur le BL genre nom société, adresse -&gt; hop ca repart&nbsp;

    &nbsp;

    Si il y a une facture sans devis,bl,bon de réception de marchandise -&gt; non payé&nbsp;

    &nbsp;&nbsp;il y a eu une période de rodage de nos fournisseurs, mais il ont compris très vite <img data-src=" />. Une fois un fournisseur c’était trompé d’adresse, il a été très content du renvoi sans délai de la marchandise.



    &nbsp;

    &nbsp;il n’y a que les charlot qui payent des factures sans numéro de commande&nbsp;<img data-src=" />, j’en connais quelques uns, ils ont surtout &nbsp;peur de prendre leurs responsabilités








Dedrak a écrit :



Quelle alternative est meilleure et déployable au niveau d’une entreprise ?



Je dirai Thunderbird. Sinon, il y a les webmail (genre Zimbra)



Ouais, enfin, le but c’est que les gens ouvrent le doc, certaines personnes un peu distraites (fatigue, stress) pourraient juste ne pas faire attention et se faire prendre.

&nbsp;Même si la règle veut qu’on n’ouvre jamais une pièce jointe d’une personne que l’on ne connait pas.








sscrit a écrit :



&nbsp;-&gt; hop ca repart &nbsp;



Tu dois t’amuser à répondre à tous ces spammeurs&nbsp;<img data-src=" />









Naunaud a écrit :



Ouais, enfin, le but c’est que les gens ouvrent le doc, certaines personnes un peu distraites (fatigue, stress) pourraient juste ne pas faire attention et se faire prendre.

&nbsp;Même si la règle veut qu’on n’ouvre jamais une pièce jointe d’une personne que l’on ne connait pas.





Faut dire qu’en entreprise, il y a des choses qui font “peur”, les gens s’en fiche royalement des notions de sécurité et quand on signale : non les mots de passe ça se transmet pas, non on clique pas partout… on passe pour un fada parano <img data-src=" />



C’est peut-être de vraies factures alors&nbsp;<img data-src=" />


des mail plausibles en effet, sauf quand on voit le mail de l’émetteur (et accessoirement quand on me dit “suite a votre discussion téléphonique avec M MACHIN” que je ne connais pas et vu que je téléphone peu).



Détecté comme spam par outlook, mais pas de virus signalé, a la masse donc.


Dans le même genre j’ai reçu un email de phishing sur le dev center de Microsoft:

&nbsphttp://puu.sh/j07I6/87fab2638b.png

&nbsp;



&nbsp;Toujours sympathique…&nbsp;<img data-src=" />








IwishIcanFLighT a écrit :



Dans le même genre j’ai reçu un email de phishing sur le dev center de Microsoft:

&nbsp;http://puu.sh/j07I6/87fab2638b.png



Ça m’a l’air légitime comme message (à priori)



J’ai reçu le même mail il y a quelque jour. Je me souviens que j’avais check si c’était un fake ou pas (L’adresse mail qui est mal foutu je trouve) et de mémoire c’était ok.

&nbsp;

De toute façon, le mail demande rien, c’est juste de l’info.








sscrit a écrit :



&nbsp;il n’y a que les charlot qui payent des factures sans numéro de commande&nbsp;<img data-src=" />, j’en connais quelques uns, ils ont surtout &nbsp;peur de prendre leurs responsabilités





Ils n’espèrent pas que les gens paient, juste qu’ils ouvrent le .doc.

&nbsp;



Lotus est correct sauf la recherche :

&nbsp;jamais vu un truc aussi peu ergonomique et avec des résultats aussi médiocres…








IwishIcanFLighT a écrit :



Dans le même genre j’ai reçu un email de phishing sur le dev center de Microsoft:

&#160http://puu.sh/j07I6/87fab2638b.png

 



 Toujours sympathique… <img data-src=" />





faut voir sur quel domaine pointent les différents liens et si ce domaine est effectivement rattaché à MS.



L’un n’empêche pas l’autre.


Des règles par mots-clés sur l’antispam de la boîte et bye bye :)

&nbsp;

Chez moi ces 3 mots-clés les bloquent :&nbsp;

&nbsp;VBE6.dll

&nbsp;Content-Type: application/x-mso

&nbsp;Content-Location: file:///C:

&nbsp;&nbsp;Pour avoir ouvert un de leurs fichiers, c’est un mélange de xml et de code binaire.


Salut,



je suis ton oncle congolais. Je suis très malade et je vais mourir. J’ai également une magnifique GWR 6800 flambant neuve dans un hangar désaffecté.



Click ici pour pour initié les démarche pour le récuperationner



<img data-src=" />


c’est pas du spam, ce sont les variantes de Dridex, on en bloque 6000 / jour, mais il sont malin meme avec un scan dans le cloud (22 k € / an), ils changent le fichier en *.doc.txt, du coup parfois le scanneur dans le cloud n’analyse pas…


Bonjour,

&nbsp;



&nbsp;Il est vrai que la vague de spams de ce matin est plutot importante (je nettoie les spam par lot de 200 sur notre messagerie d’entreprise …).

&nbsp;

La bonne nouvelle est que , si vous n’avez pas activé les macros dans Word, le danger est limité.



&nbsp;Ce qui m’inquiète , c’est la lenteur de réaction des éditeurs antivirus. Je signales des nouvelles variantes de ce type (virus macros Word) depuis plus de 3 mois à raison de 1-3 variantes par jour. Et il faut attendre 8 à 72 heures pour que les antivirus se mettent à jour.

&nbsp;

&nbsp;Pour l’instant, je n’ai vu que des installations de cheval de troie ou des vols de données.

&nbsp;

&nbsp;Que se passera-t-il quand les attaques utiliseront des cryptowares….

&nbsp;



&nbsp;Cordialement


M’en fout au pire, je viens de 500 000&nbsp; $ à la loterie Bill Gates <img data-src=" />


Je l’ai toujours celui là aussi. L’abonnement free mobile non payé… Pourtant je suis plus chez free depuis 1 an.


Pour ma part je détruit systématiquement tous les mails qui me parle de facture. La facture c’est courrier sinon ——&gt; |








Arcadio a écrit :



C’est une véritable plaie cette pluie de spam :

domaine perso sur Google apps = 100% des mails sont tagués spam (Gmail indique même “Virus détecté” dans le .doc en PJ),

mais domaine pro au boulot = même pas 50% des spam sont tagués (SpamAssassin/ClamAV up2date en frontal derrière un Exchange 2K7 avec les filtres antispam activés) et sur environ 200 users, bah 50 ont ouvert le .doc en PJ… (malgré un mail général de la DSI ce matin…) <img data-src=" />

 

<img data-src=" />





Condoléances, du boulot en vue.



Si j’étais patron, je convoquerai tous les gens qui ont ouvert le mail et les pièces jointes, et j’annoncerai que les frais de remise en état de leurs PC seront retenus sur leur salaire, histoire de payer les heures sup’ des gens de l’informatique.



Ne pas savoir lire, ou plus exactement ne pas tenir compte des consignes de sécurité, ça tue des gens dans une usine, et ça coute de l’argent ailleurs. Donc même tarifs.









John Shaft a écrit :



Salut,



je suis ton oncle congolais. Je suis très malade et je vais mourir. J’ai également une magnifique GWR 6800 flambant neuve dans un hangar désaffecté.



Click ici pour pour initié les démarche pour le récuperationner



<img data-src=" />







<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



<img data-src=" />



J’alerte Railblue, il fait la vapeur anglaise lui, ça pourrait l’intéresser.



Par contre, une Class 50 en big logo, je suis preneur.



Je me demande à quel point cette vague de spam est liée aux sources de Hacking Team ayant fuitées récemment …

Déjà que j’ai lu que nombre de rootkits/ransomware (Angler, Cryptowall …) les ont promptement intégré …&nbsp;<img data-src=" />


j’y avais pensé mais je n’ai pas osé la sortir….<img data-src=" />


Ouvre la pièce&nbsp; jointe pour être sur <img data-src=" />


Une vraie plaie cette campagne, depuis début juin que ça dure !








Arcadio a écrit :



C’est une véritable plaie cette pluie de spam :

domaine perso sur Google apps = 100% des mails sont tagués spam (Gmail indique même “Virus détecté” dans le .doc en PJ),

mais domaine pro au boulot = même pas 50% des spam sont tagués (SpamAssassin/ClamAV up2date en frontal derrière un Exchange 2K7 avec les filtres antispam activés) et sur environ 200 users, bah 50 ont ouvert le .doc en PJ… (malgré un mail général de la DSI ce matin…)





Clamav est hélas à la ramasse sur ce type d’attaque : j’ai reçu (sur différentes adresses de mon domaine pro) une quarantaine de fichiers docs de ce type infectés depuis 2 mois,&nbsp;je leur ai tous systématiquement reportés avec le lien VirusTotal, Jotti, la pièce jointe, le MD5 et SHA256 : absolument aucun n’est détecté à ce jour par leurs dernières bases virales…



Pour les factures a 30000€ virus ou malware krypt locker ou équivalent ne pas ouvrir..<img data-src=" />

&nbsp;

Tentative de l”ÉTAT” de ponctionner un peu plus les français peut être…<img data-src=" />



&nbsp;

<img data-src=" />


Melinda Lawson serait pas un pseudo de Nicolas S. pour payer sa future campagne électorale, sont plus a sa prêt les “Nouveaux Républicains”.<img data-src=" /> <img data-src=" />

&nbsp;



<img data-src=" />


Est ce qu’on sait quels sont les logiciels concernés (Word 2003,2007,2013,etc) LibreOffice et sous quels système d’exploitations ? Windows,Linux,OSX ?


je l’ai eu sur une hotmail avec fichier texte et pas doc word ( à moins que ce soit le filtre Ms qui a virer le word ) , direct en junk ça a été placé . pourtant cette adresse très peu l’ont .. “ lire les CGU , lire les CGU quand on ouvre un compte ” ^^’








chris.tophe a écrit :



Est ce qu’on sait quels sont les logiciels concernés (Word 2003,2007,2013,etc) LibreOffice et sous quels système d’exploitations ? Windows,Linux,OSX ?





Word sur Windows.



Sur Word Mac, le vb n’est pas vraiment géré (dépend des versions) et le fichier téléchargé par le .doc est un cheval de Troie Windows



Sous Linux point de Word donc pas de risque ;)

&nbsp;

LibreOffice n’exécute pas les macro dans des .doc (non compatible vb)









Elwyns a écrit :



je l’ai eu sur une hotmail avec fichier texte et pas doc word ( à moins que ce soit le filtre Ms qui a virer le word ) , direct en junk ça a été placé . pourtant cette adresse très peu l’ont .. “ lire les CGU , lire les CGU quand on ouvre un compte ” ^^’





Je me corrige, l’AV de MS/Outlook a bien supprimé le fichier avant de me le mettre dans ma boite au lettre , ceci dit je ne tenterais pas de l’ouvrir même pour voir le rapport :o&nbsp;



On en a bloqué près de 700 000 de notre côté… Les mails étaient heureusement déjà considérés comme du spam avéré et donc supprimés.

&nbsp;


Au boulot, &nbsp;on remarque des vagues de spam / DDOS grandisantes sur les boites mails, je pense qu’effectivement il y a une opération en cours.


Merci pour toutes ces infos


Moi aussi jean crepin me reclame du frique sinon çà change pas c’est toujours des histoires de cul malsaine…

&nbsp;

et des renoi qui invente une histoire de ouf pour qu’on lui envoie de l’argent !


En fait c’est le gouvernement grec qui essaye de trouver des sous <img data-src=" />








Mihashi a écrit :



En fait c’est le gouvernement grec qui essaye de trouver des sous <img data-src=" />





haha moi aussi c’est du .gr :p ,ils veulent renflouer la dette <img data-src=" />





« Salut,&nbsp;Il parait que tu recherches la facture avec les Rimauresq

Rosé et Blanc?&nbsp;La voici en pièce jointe.&nbsp;Veux-tu que je te la remette au

courrier également?&nbsp;Otha Salazar »



&nbsp;



Tout s’explique… <img data-src=" /> <img data-src=" />


au boulot ça fait 1 mois que cela dure…

&nbsp;

&nbsp;je crois que c’est ici que j’avais lu (ou pas) que cela visé les services publiques sociaux (école/santé…). cela à dut fonctionner pour passer à la 2éme étape…

&nbsp;

&nbsp;le virus exfiltre des infos d’id vers le net, il créé des dossier temp et se déplace dans le profil ensuite, je sais pas si c’est toujours le même vous me direz. mais si c’est le cas, il semble se déplacer/dupliquer sur les supports amovibles des qu’ils sont reconnus (en tout cas nous avons eu un cas de réinfection comme cela)


dans le doute y a qu’a mettre toutes les factures en suspend&nbsp;<img data-src=" />


https://www.youtube.com/watch?v=tMwJ2IqBFJs

&nbsp;

&nbsp; :)

&nbsp;

&nbsp;

&nbsp;Pas eu de souci sur cette vague pour le moment.

&nbsp;

En perso je reçois plutôt ‘factures Free”, banque postale, femme russe cherche réconfort dans argent ^^’


Je croyais être le seul à penser ça…. merci ça me rassure je ne me sens plus seul.








detlef a écrit :



reste plus qu’a prévenir la famille pour éviter qu’il ne foutent le bordel sur leurs PC …





De mon coté, c’est fait. Les ceusses qui se feront avoir devront passer à la caisse : 100 euros en image de la BCE pour les étourdis. À un moment donné, il faut savoir sévir !



<img data-src=" />Les utilisateurs se servent de ce que la boite dispose.

Si cette dernière utilise open office et que tous ses documents sont sous ce format, il n’y aura de toute façon pas le choix. Sinon c’est prendre le risque de perte de mise en forme, fonctions et liens dans les tableurs qui ne seront peut être plus fonctionnels et autre joyeusetés de changer de soft.

&nbsp;

D’autant que les interfaces sont très proches ou au pire assez claires, ce n’es pas des lignes de commande dans terminal quand même ^^‘.

C’est comme pour Gimp et photoshop, pour un utilisateur de base ce ne sera pas le bout du monde.&nbsp; Un utilisateur avancé effectivement passera du temps pour retrouver ses billes.

&nbsp;



En parallèle, “peut être” qu’une petite boite pourra se permettre de perdre du temps à reprendre tous ces fichiers (même si j’en doute).

&nbsp;Mais pour des boites plus grosses avec des milliers voir des millions de fichiers. C’est juste inenvisageable.

&nbsp;

&nbsp;

&nbsp;/ Si tu connais des personnes qui ont eu du mal entre xp et seven (aller, il y a deux ou trois choses à expliquer et c’est bon), il ne vaut mieux pas penser au passage de seven à 8 (quoique 10 à l’air de revenir sur certains points / Qui ne sont pas plus mal en entreprise pour du non tactil).


quelqu’un a recu un truc d’anne marie nozzi ?

&nbsp;

pas de texte dans le mail juste un pièce jointe comme si c’était un truc scanné envoyé par erreur


Oui j’en ai eu un ce matin de nozzi.

&nbsp;passé à virus total :&nbsphttps://www.virustotal.com/fr/file/7e832b8ee9d6b55184a20d558cf339d143e53cdade8e7…

&nbsp;

&nbsp;et mail supprimé.

&nbsp;

&nbsp;J’en suis rendu à filtré les fichier .doc pour les valider ou les bloquer en attendant que ça se calme.

&nbsp;heureusement nous n’avons que 40 boites email et qu’on utilise peu ce format de fichier.

&nbsp;

&nbsp;Mais hier avec + de 200 mails, ça m’a bien occupé.

&nbsp;

&nbsp;Si vous avez des outils / services qui arrivent à identifier et bloquer ces email, je suis preneur !

&nbsp;

a++








Aznox a écrit :



Le .doc contient une macro VBA “inoffensive” (=pas bloquée par les antispam) qui, si elle est exécutée, va télécharger le “vrai virus” directement depuis internet.





Je comprends mieux. <img data-src=" />



Moi j’en ai aussi reçu un.

&nbsp;Le plus étrange, c’est qu’il proviennent tous d’une unique adresse mail : celle que j’ai renseignée pour le site de Maxthon, le navigateur avec du cloud dedans.


J’en suis à 3.

&nbsp;

Alors que d’habitude je passe entre les mailles du filet. Ma femme aussi en a reçu.

&nbsp;



Ca a franchement l’air d’une grosse vague quand même.


Aujourd’hui c’est le Credit agricole du Languedoc.

&nbsp;

C’est très bien fait soyez prudent.

&nbsp;

&nbsp;voici le mail&nbsp;:

&nbsp;

&nbsp;De :&nbsp;Crédit Agricole Du Languedoc [[email protected]]&nbsp;Date d’envoi :&nbsp;vendredi 17juillet 2015 10:13&nbsp;Objet :&nbsp;Confirmation de rendez-vous&nbsp;&nbsp;



Veuillez trouver ci-joint la confirmationde notre rendez-vous.&nbsp;Ce message est envoyé automatiquement et n’a pas vocation à recevoir deréponse, pour modifier ou annuler votre rendez-vous merci de contacter votreagence (coordonnées sur votre courrier de confirmation ci-joint).&nbsp;Vous souhaitant bonne réception.&nbsp;Sincères salutations.&nbsp;



Liste despièces jointes&nbsp;




    mso-fareast-language:FR"&gt;Votre rendez-vous :        mso-fareast-language:FR"&gt;150710-Rdv-50000000000-189

Bonjour,

&nbsp;

Avez vous plus d’infos sur la macro qui s’exécute à l’ouverture du document Word ?

Plusieurs personnes l’ont reçus dans ma boite aujourd’hui et ça ne m’étonnerais pas que certains l’ai ouvert.

&nbsp;

Merci.


À quand les faux spam ?


&nbsp;ça fait juste 1 mois qu’on les reçoit à raison de 2000 par jour dans notre société…


Attention, il y a des nouveautés ce matin… :(

&nbsp;

Nous avons reçu des fichiers pourris en .docm et en .xls ….

&nbsp;

Mettez à jour vos règles au besoin


J’en reçois aussi régulièrement depuis quelque temps. Ils finissent directement à la poubelle mais les questions que je me pose (je n’ai pas vu la réponse dans les commentaires), c’est :




  • Qu’est-ce que ça fait si on ouvre la pièce jointe ?

  • À quoi ça sert ?

  • À qui ça profite ?



    Pour la première question, je ne veux pas une réponse technique (je n’y comprendrai rien), mais qu’est-ce que ça aura comme conséquence sur mon ordinateur ? Est-ce que je vais avoir des fichiers/programmes détruits ? Est-ce que je ne vais rien voir du tout mais que quelqu’un va piocher dans mes contacts, mes infos personnelles, récupérer des données sur mon ordinateur… ?



    Enfin voilà quoi… Quels sont les dangers à part me faire chier dans ma boîte aux lettres ?


Si on ouvre la pièce jointe une macro va télécharger un malware de type Dridex qui va scanner le pc pour rechercher des informations bancaires.


Généralement se sont des documents word qui embarquent des macros. Des macros sont des scripts. A l’ouverture du document, la macro va s’exécuter. Généralement, la macro (donc le script) va se connecter un serveur distant pour télécharger des malwares.

&nbsp;

Un exemple :&nbsp;https://malwr.com/analysis/MDg3MDIxMzZlOWYxNDZhNmFiZDc3MWQzOGViOTgwYmY/

&nbsp;

Il s’agit de l’analyse d’un document word. Dans la partie “Network analysis”, onglet “HTTP”, on voit qu’il se connecte à un serveur pour y télécharger “33.exe”.


OK merci.

Donc ils sont à la recherche d’infos personnelles (et monnayables) sur les PC.

Mais à part cette intrusion malveillante dans la vie privée avec tous les risques que cela peut impliquer, y a-t-il également un risque pour l’ordinateur et les données ? Ou est-ce que ça se “limite” à de la récupération de données ?


D’après ce que j’ai pu lire ces derniers jours sur ce type d’attaque pour l’instant ça se limite seulement à la récupération d’informations (pour les campagnes de Spam qui tournent depuis un mois et qui incluent des fichiers Word ou Excel).

&nbsp;

Après on peut imaginer que ça pourrait évoluer pour devenir des menaces plus destructrices…








Nboilard a écrit :



Bonjour,

&nbsp;



&nbsp;Il est vrai que la vague de spams de ce matin est plutot importante (je nettoie les spam par lot de 200 sur notre messagerie d’entreprise …).

&nbsp;

La bonne nouvelle est que , si vous n’avez pas activé les macros dans Word, le danger est limité.



&nbsp;Ce qui m’inquiète , c’est la lenteur de réaction des éditeurs antivirus. Je signales des nouvelles variantes de ce type (virus macros Word) depuis plus de 3 mois à raison de 1-3 variantes par jour. Et il faut attendre 8 à 72 heures pour que les antivirus se mettent à jour.

&nbsp;

&nbsp;Pour l’instant, je n’ai vu que des installations de cheval de troie ou des vols de données.

&nbsp;

&nbsp;Que se passera-t-il quand les attaques utiliseront des cryptowares….

&nbsp;



&nbsp;Cordialement



Je me demande si ç’est pas un test du Gouvernement tient, une bonne grosse campagne de spam plutot que de coûteuse boite noire, ca peut aspirer pas mal de données aussi&nbsp;

&nbsp;

Lenteur de réaction des AV ? hmm, dès le début de la vague, au bout d’1h, Kaspersky m’affichait le message d’alerte dès l’arrivée dans la boîte. La DSI a reconfiguré KAV pour que les maj se fassent toutes les 60 min au lieu des 120 habituels.



Après ça ne veut pas dire que KAV dispose des éléments nécessaires pour bloquer les variantes mais ça va assez vite. De plus notre DSI a mis des règles applicables à tous pour filtrer au maximum.

&nbsp;

Le RSSI fulmine lui devant la bétise des gens en revanche&nbsp;<img data-src=" />

&nbsp;