Connexion
Abonnez-vous

Vague de spams sur fond de fausses factures

Qui ne tente rien...

Vague de spams sur fond de fausses factures

Le 15 juillet 2015 à 12h42

Si les spams sont toujours monnaie courante, tout comme les tentatives de phishing, on note parfois quelques campagnes massives. C'est ce qu'il semble se passer depuis peu avec des emails évoquant des factures à régler.

« Salut, Il parait que tu recherches la facture avec les Rimauresq Rosé et Blanc? La voici en pièce jointe. Veux-tu que je te la remette au courrier également? Otha Salazar »

« Bonjour, ci-joint le duplicata de la facture du mois de juillet 2015. Après vérifications, je n'ai pas eu le règlement. Serait-il possible de l'avoir dans la semaine qui vient. Merci par avance. Cordialement. Melinda Lawson »

Vous aussi vous avez reçu de tels emails ? Depuis ce matin, de nombreux internautes se plaignent de recevoir ce genre de message en français évoquant une facture à régler, avec un fichier Word infecté placé en pièce jointe. Comme souvent, il ne s'agit que de chercher à tromper les utilisateurs en misant sur la faiblesse de la minorité qui prendra ces emails pour argent comptant et ouvrira la soi-disant facture.

Rien de bien nouveau, si ce n'est que cette campagne semble plutôt massive comme on peut le noter dans plusieurs témoignages sur Twitter. Une précédente vague avait été détectée le mois dernier. Comme souvent, le mieux reste de placer ces emails dans les courriers indésirables voir de les signaler aux équipes de la plateforme Signal Spam.

Commentaires (134)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Comme souvent, le mieux reste de placer ces emails dans les courriers

indésirables voir de les signaler aux équipes de la plateforme Signal Spam.



 

&nbsp;Je signaler les spams à ce service depuis ces débuts (ça doit dater de 5 ou 6 ans). Je n’ai pas l’impression que ce soit efficace, ils ne font aucune communication visant à dire l’avancée du projet, s’il y a des condamnations, l’intégration à de nouveaux services,… Est-ce que c’est un vrai service derrière ? J’ai l’impression que c’est un trou noir… Leur site affiche 3 actus sur les 8 derniers mois <img data-src=" />

votre avatar

déjà 3 du même types depuis ce matin dans la boite mail du boulot (1 bloqué par l’antispam)

&nbsp;




  • après verif il propose même de ce déplacer pour récup le pognon <img data-src=" />

votre avatar

J’ai déjà payé au moins 2 ou 3000€ à Melinda Lawson, elle commence à me gaver.

votre avatar

Poubelles directe, mais pas beaucoup en réception vu ma pléthore de mail jetable.<img data-src=" />

votre avatar

J’en recois regulierement depuis des semaines sur le mail du boulot, et aujourd’hui sur ma perso j’ai

&nbsp;“Pierre-Jean CREPIN, Trésorier du CNOP&nbsp;”&nbsp;qui m’envoit sa facture….&nbsp;<img data-src=" />

votre avatar

Pas eu sur mon compte poubelle, ni sur les autres d’ailleurs…



Mais bon, ça ne veut pas dire que je vais rester indemne. A surveiller.

votre avatar







Commentaire_supprime a écrit :



Pas eu sur mon compte poubelle, ni sur les autres d’ailleurs…







Pareil <img data-src=" />


votre avatar

Rien reçu non plus, mis à part les habituels mails pour des pilules bleues et des agrandisseurs de pénis, dus au tracking publicitaire.

votre avatar







barlav a écrit :



J’en recois regulierement depuis des semaines sur le mail du boulot, et aujourd’hui sur ma perso j’ai

 ”Pierre-Jean CREPIN, Trésorier du CNOP ” qui m’envoit sa facture…. <img data-src=" />





Pourtant tu peux y aller, c’est une lumière ce gars <img data-src=" />


votre avatar

<img data-src=" /> Rien eu. Déception …



Par contre j’ai souvent du bon vieux phishing à la CB avec des faux mail FREE, SFR ou de banques comme BNP ou LCL.



C’est con je suis chez aucun <img data-src=" />

votre avatar

Quel est l’utilté de la plateforme Signal-Spam ?

&nbsp;

&nbsp;Elle ne produit rien, n’offre pas de service de reputation du type spamhaus, se contente telle de recolter des spams pour alimenter les filtre bayesiens de ses membres sponsor/contributeur ?

&nbsp;



&nbsp;Par le passé il y’a eu un addon pour Outlook, mais concretement elle sert a quoi ?

votre avatar







ActionFighter a écrit :



Rien reçu non plus, mis à part les habituels mails pour des pilules bleues et des agrandisseurs de pénis, dus au tracking publicitaire.





Toi, tu n’as pas été tracké sur des site de pêche à la mouche <img data-src=" />


votre avatar

Quand tu reçois une fausse facture de by6m4l10n, tu sais que PJ n’est plus très loin.

votre avatar

Reçu en plusieurs exemplaires. Par rapport à de nombreuses campagnes de spam/phishing, celui-ci a des mail rédigés de manière plausible. Donc oui, ça va faire des ravages.

&nbsp;

votre avatar

J’en reçois pas mal sur mon adresse professionnelle :

&nbsp;

“Bonjour,



Veuillez trouver ci-joint copie d’une facture pour un travail urgent demandé auprès de Julien.



&nbsp;L’originale est dans la bannette dans le bureau de Stéphanie.



&nbsp;Merci



Pauline DUNTZ”

&nbsp;



Quand j’ai reçu le 1er, je me suis vraiment demandé si c’était du SPAM, car quand tu bosses avec des clients, ca arrive de recevoir des mails de ce type.

&nbsp;

votre avatar

Le meilleur anti-virus reste entre la chaise et le clavier <img data-src=" />

votre avatar







John Shaft a écrit :



Le meilleur anti-virus reste entre la chaise et le clavier <img data-src=" />





Et virer Outlook qui te prévisualise les .doc avec les bons macro virus qui vont bien…


votre avatar

Mon patron s’est fait avoir par un mail comme ça. Il ne connaissait pas l’expéditeur, qui avait une adresse en .de, mais il a cliqué quand même. PC bon à restaurer, tout était bloqué.

&nbsp;

Certains n’ont pas les notions de base de sécurité, ils ouvriraient leur porte à n’importe qui…

votre avatar

Si vous voulez leur poser des questions :&nbsptwitter.com Twitter<img data-src=" />

votre avatar







kade a écrit :



J’ai déjà payé au moins 2 ou 3000€ à Melinda Lawson, elle commence à me gaver.







Ah tiens, c’est marrant ça, moi c’est elle qui me paye. Non, je ne dirai pas pourquoi <img data-src=" />


votre avatar

Pour utiliser Outlook, il faudrait déjà que ce logiciel sache faire du mail correctement <img data-src=" />

votre avatar

Tu es gigolo ? <img data-src=" />



<img data-src=" />

votre avatar

En tout cas le bot a l’air de déconner, tous les .doc que j’ai reçu sont corrompus (regardés dans un éditeur hexa, j’suis pas fou)

votre avatar

Plus de 4semaines qu’on reçoit ce type de mail a la boite …

votre avatar







John Shaft a écrit :



Pour utiliser Outlook, il faudrait déjà que ce logiciel sache faire du mail correctement <img data-src=" />





Ah bah ça, complètement d’accord, mais bon dans le monde de l’entreprise va leur faire comprendre que si ça déconne c’est pas la faute à l’email en lui même mais la bouse qu’ils utilisent pour le réceptionner/envoyer/lire…


votre avatar







John Shaft a écrit :



Tu es gigolo ? <img data-src=" />



<img data-src=" />







Tout de suite, les grands maux mots <img data-src=" />


votre avatar

Oui, les vieilles habitudes ont la vie dure <img data-src=" />

votre avatar

Question sérieuse : Lotus Notes est mieux ? Parce que c’est la seule alternative que j’ai vu en entreprise.

votre avatar

Ben c’est surtout que dans le monde de l’entreprise “classique” c’est de windows et de l’office. Les nons informaticiens y sont habitués depuis l’enfance et faut surtout, mais surtout pas changer les habitudes hein (j’vois ça avec le passage XP vers win7 ^^).



Donc c’est pas près de changer dans les entreprises “classiques” malheureusement.

votre avatar

50 personnes ? Mais c’est un massacre ! <img data-src=" /> Si c’est le même cas dans toutes les boîtes, ça va être un beau bordel.

votre avatar

&nbsp;Vu les montant réclamés ça vise clairement les pros, y’a vraiment des comptables qui se laissent avoir ?

&nbsp;



&nbsp;J’imagine la scène :




  • Ohlàlà ça n’en finissait pas aujourd’hui, j’ai reçus des relances de factures pour plus de 60000€&nbsp; par mails, j’ai tout payé !

  • Le Patron&nbsp; :

    &nbsp;

    :eek:

votre avatar



« Salut,&nbsp;Il parait que tu recherches la facture avec les Rimauresq

Rosé et Blanc?&nbsp;La voici en pièce jointe.&nbsp;Veux-tu que je te la remette au

courrier également?&nbsp;Otha Salazar »



&nbsp;



Tout s’explique… <img data-src=" /> <img data-src=" />

votre avatar

au boulot ça fait 1 mois que cela dure…

&nbsp;

&nbsp;je crois que c’est ici que j’avais lu (ou pas) que cela visé les services publiques sociaux (école/santé…). cela à dut fonctionner pour passer à la 2éme étape…

&nbsp;

&nbsp;le virus exfiltre des infos d’id vers le net, il créé des dossier temp et se déplace dans le profil ensuite, je sais pas si c’est toujours le même vous me direz. mais si c’est le cas, il semble se déplacer/dupliquer sur les supports amovibles des qu’ils sont reconnus (en tout cas nous avons eu un cas de réinfection comme cela)

votre avatar

dans le doute y a qu’a mettre toutes les factures en suspend&nbsp;<img data-src=" />

votre avatar

https://www.youtube.com/watch?v=tMwJ2IqBFJs

&nbsp;

&nbsp; :)

&nbsp;

&nbsp;

&nbsp;Pas eu de souci sur cette vague pour le moment.

&nbsp;

En perso je reçois plutôt ‘factures Free”, banque postale, femme russe cherche réconfort dans argent ^^’

votre avatar

Je croyais être le seul à penser ça…. merci ça me rassure je ne me sens plus seul.

votre avatar







detlef a écrit :



reste plus qu’a prévenir la famille pour éviter qu’il ne foutent le bordel sur leurs PC …





De mon coté, c’est fait. Les ceusses qui se feront avoir devront passer à la caisse : 100 euros en image de la BCE pour les étourdis. À un moment donné, il faut savoir sévir !


votre avatar

<img data-src=" />Les utilisateurs se servent de ce que la boite dispose.

Si cette dernière utilise open office et que tous ses documents sont sous ce format, il n’y aura de toute façon pas le choix. Sinon c’est prendre le risque de perte de mise en forme, fonctions et liens dans les tableurs qui ne seront peut être plus fonctionnels et autre joyeusetés de changer de soft.

&nbsp;

D’autant que les interfaces sont très proches ou au pire assez claires, ce n’es pas des lignes de commande dans terminal quand même ^^‘.

C’est comme pour Gimp et photoshop, pour un utilisateur de base ce ne sera pas le bout du monde.&nbsp; Un utilisateur avancé effectivement passera du temps pour retrouver ses billes.

&nbsp;



En parallèle, “peut être” qu’une petite boite pourra se permettre de perdre du temps à reprendre tous ces fichiers (même si j’en doute).

&nbsp;Mais pour des boites plus grosses avec des milliers voir des millions de fichiers. C’est juste inenvisageable.

&nbsp;

&nbsp;

&nbsp;/ Si tu connais des personnes qui ont eu du mal entre xp et seven (aller, il y a deux ou trois choses à expliquer et c’est bon), il ne vaut mieux pas penser au passage de seven à 8 (quoique 10 à l’air de revenir sur certains points / Qui ne sont pas plus mal en entreprise pour du non tactil).

votre avatar

quelqu’un a recu un truc d’anne marie nozzi ?

&nbsp;

pas de texte dans le mail juste un pièce jointe comme si c’était un truc scanné envoyé par erreur

votre avatar

Oui j’en ai eu un ce matin de nozzi.

&nbsp;passé à virus total :&nbsphttps://www.virustotal.com/fr/file/7e832b8ee9d6b55184a20d558cf339d143e53cdade8e7…

&nbsp;

&nbsp;et mail supprimé.

&nbsp;

&nbsp;J’en suis rendu à filtré les fichier .doc pour les valider ou les bloquer en attendant que ça se calme.

&nbsp;heureusement nous n’avons que 40 boites email et qu’on utilise peu ce format de fichier.

&nbsp;

&nbsp;Mais hier avec + de 200 mails, ça m’a bien occupé.

&nbsp;

&nbsp;Si vous avez des outils / services qui arrivent à identifier et bloquer ces email, je suis preneur !

&nbsp;

a++

votre avatar







Aznox a écrit :



Le .doc contient une macro VBA “inoffensive” (=pas bloquée par les antispam) qui, si elle est exécutée, va télécharger le “vrai virus” directement depuis internet.





Je comprends mieux. <img data-src=" />


votre avatar

Moi j’en ai aussi reçu un.

&nbsp;Le plus étrange, c’est qu’il proviennent tous d’une unique adresse mail : celle que j’ai renseignée pour le site de Maxthon, le navigateur avec du cloud dedans.

votre avatar

J’en suis à 3.

&nbsp;

Alors que d’habitude je passe entre les mailles du filet. Ma femme aussi en a reçu.

&nbsp;



Ca a franchement l’air d’une grosse vague quand même.

votre avatar

Aujourd’hui c’est le Credit agricole du Languedoc.

&nbsp;

C’est très bien fait soyez prudent.

&nbsp;

&nbsp;voici le mail&nbsp;:

&nbsp;

&nbsp;De :&nbsp;Crédit Agricole Du Languedoc [[email protected]]&nbsp;Date d’envoi :&nbsp;vendredi 17juillet 2015 10:13&nbsp;Objet :&nbsp;Confirmation de rendez-vous&nbsp;&nbsp;



Veuillez trouver ci-joint la confirmationde notre rendez-vous.&nbsp;Ce message est envoyé automatiquement et n’a pas vocation à recevoir deréponse, pour modifier ou annuler votre rendez-vous merci de contacter votreagence (coordonnées sur votre courrier de confirmation ci-joint).&nbsp;Vous souhaitant bonne réception.&nbsp;Sincères salutations.&nbsp;



Liste despièces jointes&nbsp;




    mso-fareast-language:FR"&gt;Votre rendez-vous :        mso-fareast-language:FR"&gt;150710-Rdv-50000000000-189
votre avatar

Bonjour,

&nbsp;

Avez vous plus d’infos sur la macro qui s’exécute à l’ouverture du document Word ?

Plusieurs personnes l’ont reçus dans ma boite aujourd’hui et ça ne m’étonnerais pas que certains l’ai ouvert.

&nbsp;

Merci.

votre avatar

À quand les faux spam ?

votre avatar

&nbsp;ça fait juste 1 mois qu’on les reçoit à raison de 2000 par jour dans notre société…

votre avatar

Salut, de mon côté, dans ma boite, c’est massif : environ 60 personnes sur 250 l’auraient reçu sans notre serveur antispam. Par contre ras sur mes gmail/hotmail perso.

&nbsp;

votre avatar

Idem depuis 2 ou 3 semaines environ,&nbsp; j’ai eu le droit à “Pierre-Jean CREPIN” qui me demande aussi de l’argent… Il est partout ce type. <img data-src=" />

votre avatar

Ah, ouais, quand je vois que vous en parlez le jour même, je me sens heureux de n’en avoir reçu que 3 jusqu’à maintenant !

votre avatar

Déjà 5 reçus depuis ce matin sur une des boîtes du boulot, certains sont bien faits quand même j’ai failli y croire par moment.

votre avatar







trash54 a écrit :



déjà 3 du même types depuis ce matin dans la boite mail du boulot (1 bloqué par l’antispam)

&nbsp;




  • après verif il propose même de ce déplacer pour récup le pognon <img data-src=" />





    Je suis sûr que ce commentaire est aussi du spam. Je le reconnais aux fautes d’orthographe.


votre avatar

C’est une véritable plaie cette pluie de spam :

domaine perso sur Google apps = 100% des mails sont tagués spam (Gmail indique même “Virus détecté” dans le .doc en PJ),

mais domaine pro au boulot = même pas 50% des spam sont tagués (SpamAssassin/ClamAV up2date en frontal derrière un Exchange 2K7 avec les filtres antispam activés) et sur environ 200 users, bah 50 ont ouvert le .doc en PJ… (malgré un mail général de la DSI ce matin…) <img data-src=" />

&nbsp;

<img data-src=" />

votre avatar







reno31 a écrit :



Quel est l’utilté de la plateforme Signal-Spam ?

 

 Elle ne produit rien, n’offre pas de service de reputation du type spamhaus, se contente telle de recolter des spams pour alimenter les filtre bayesiens de ses membres sponsor/contributeur ?







De ce que je vois, c’est tourné “utilisateur/M. Michu”. Les services types Spamhaus, c’est bien mais 1/ c’est plus réservé aux sysadmin et 2/ En général, ce sont des structures fermés qui cherchent le spam par eux même



votre avatar

5 reçus dans ma boîte mail pro depuis ce matin, 0 taggé en spam et l’antivirus a rien détecté.

&nbsp;Parfait, tout va bien&nbsp;<img data-src=" />

votre avatar

Que contient le fichier Word techniquement ?

votre avatar

Quasi une 20aine depuis ce matin, c’est la fête… Avant c’était 23 par jour.

votre avatar







Myze a écrit :



Idem depuis 2 ou 3 semaines environ,&nbsp; j’ai eu le droit à “Pierre-Jean CREPIN” qui me demande aussi de l’argent… Il est partout ce type. <img data-src=" />





Si le mail vient de Paul BISMUTH, c’est pas du spam ? &nbsp;<img data-src=" />


votre avatar

Il tente de tomber sur des crétin vu son nom.<img data-src=" />

votre avatar

Bonne question, je l’utilise parce que ça me prend que une seconde à copy/paste la source du mail, mais jamais vu de résultat.



J’utilise aussi Phishing Initiative pour le phishing.

votre avatar

Rien chez moi. Juste le sempiternel mail comme quoi ils n’ont pas réussi à prélever sur mon compte Free Mobile, mail qui remplace celui d’EDF (d’ailleurs, les liens sont les mêmes, toujours edf dans l’URL <img data-src=" />)

votre avatar







Berri-UQAM a écrit :



Que contient le fichier Word techniquement ?





Ça :https://www.virustotal.com/


votre avatar

Sur les adresses générales des société c’est pas mal non plus.

&nbsp;300 users qui l’ont reçu et les réponses du genre “oups” “trop tard” au mail de mise en garde ça fait toujours plaisir.

votre avatar

C’est dingue ce sentiment d’abandon quand même les spammeurs ne visent pas nos petits comptes persos n’est-ce pas ? <img data-src=" />

votre avatar

Méthode de désinfection mais j’ai pas testé puisque je ne suis pas tombe dans le panneauhttp://www.netstaff.fr/blog/?p=717

votre avatar

Ah, ben moi ici au boulot (mairie), ça fait déjà 3 ou 4 semaines qu’ils nous harcèlent ! De 3 à 10 mails du genre, par jour et par boite mail… J’ai du expliquer 5 fois qu’il ne fallait pas les ouvrir, une chance Kaspersky empêche l’ouverture des fichiers, j’ai eu chaud lol !

votre avatar

6 adresses mail + des jetables à l’infin, 1 à 2 spam par semaine en tout, aucun de ce genre ces derniers jours, je croise les doigts…

votre avatar







trash54 a écrit :



soit pas si triste <img data-src=" />







Je suis plutôt content.



Faut croire que s’intéresser aux trains anglais, ça n’attire pas les spammeurs…


votre avatar

&nbsp;

&nbsp;

Rien sur mon compte hotmail.

&nbsp; Sans doute dû au scan de la NSA intégré à ma boite mail.

&nbsp;

&nbsp;Perso, on a beau critiquer les ricains, ils font bien leur job quand même.

&nbsp;

<img data-src=" />

&nbsp;

votre avatar

L’aperçu n’exécute pas les macros.

votre avatar

non, c’est impossible dans le processus comptable :

&nbsp;

-devis

-commande + numéro de commande&nbsp;




  • BL avec numéro de commande

  • bon de réception de marchandise

    &nbsp;-réception de&nbsp;facture avec dans la main l’ensemble des documents ci dessus.

    &nbsp;

    &nbsp;dans mon cas si une somme ne correspond pas, ou si le numéro de commande est absent du BL -&gt; hop ca repart&nbsp;

    &nbsp;facture sans numéro de commande -&gt; &nbsp;même pas regardé.

    &nbsp;&nbsp;même en cas d’erreur sur le BL genre nom société, adresse -&gt; hop ca repart&nbsp;

    &nbsp;

    Si il y a une facture sans devis,bl,bon de réception de marchandise -&gt; non payé&nbsp;

    &nbsp;&nbsp;il y a eu une période de rodage de nos fournisseurs, mais il ont compris très vite <img data-src=" />. Une fois un fournisseur c’était trompé d’adresse, il a été très content du renvoi sans délai de la marchandise.



    &nbsp;

    &nbsp;il n’y a que les charlot qui payent des factures sans numéro de commande&nbsp;<img data-src=" />, j’en connais quelques uns, ils ont surtout &nbsp;peur de prendre leurs responsabilités

votre avatar







Dedrak a écrit :



Quelle alternative est meilleure et déployable au niveau d’une entreprise ?



Je dirai Thunderbird. Sinon, il y a les webmail (genre Zimbra)


votre avatar

Ouais, enfin, le but c’est que les gens ouvrent le doc, certaines personnes un peu distraites (fatigue, stress) pourraient juste ne pas faire attention et se faire prendre.

&nbsp;Même si la règle veut qu’on n’ouvre jamais une pièce jointe d’une personne que l’on ne connait pas.

votre avatar







sscrit a écrit :



&nbsp;-&gt; hop ca repart &nbsp;



Tu dois t’amuser à répondre à tous ces spammeurs&nbsp;<img data-src=" />


votre avatar







Naunaud a écrit :



Ouais, enfin, le but c’est que les gens ouvrent le doc, certaines personnes un peu distraites (fatigue, stress) pourraient juste ne pas faire attention et se faire prendre.

&nbsp;Même si la règle veut qu’on n’ouvre jamais une pièce jointe d’une personne que l’on ne connait pas.





Faut dire qu’en entreprise, il y a des choses qui font “peur”, les gens s’en fiche royalement des notions de sécurité et quand on signale : non les mots de passe ça se transmet pas, non on clique pas partout… on passe pour un fada parano <img data-src=" />


votre avatar

C’est peut-être de vraies factures alors&nbsp;<img data-src=" />

votre avatar

des mail plausibles en effet, sauf quand on voit le mail de l’émetteur (et accessoirement quand on me dit “suite a votre discussion téléphonique avec M MACHIN” que je ne connais pas et vu que je téléphone peu).



Détecté comme spam par outlook, mais pas de virus signalé, a la masse donc.

votre avatar

Dans le même genre j’ai reçu un email de phishing sur le dev center de Microsoft:

&nbsphttp://puu.sh/j07I6/87fab2638b.png

&nbsp;



&nbsp;Toujours sympathique…&nbsp;<img data-src=" />

votre avatar







IwishIcanFLighT a écrit :



Dans le même genre j’ai reçu un email de phishing sur le dev center de Microsoft:

&nbsp;http://puu.sh/j07I6/87fab2638b.png



Ça m’a l’air légitime comme message (à priori)


votre avatar

Attention, il y a des nouveautés ce matin… :(

&nbsp;

Nous avons reçu des fichiers pourris en .docm et en .xls ….

&nbsp;

Mettez à jour vos règles au besoin

votre avatar

J’en reçois aussi régulièrement depuis quelque temps. Ils finissent directement à la poubelle mais les questions que je me pose (je n’ai pas vu la réponse dans les commentaires), c’est :




  • Qu’est-ce que ça fait si on ouvre la pièce jointe ?

  • À quoi ça sert ?

  • À qui ça profite ?



    Pour la première question, je ne veux pas une réponse technique (je n’y comprendrai rien), mais qu’est-ce que ça aura comme conséquence sur mon ordinateur ? Est-ce que je vais avoir des fichiers/programmes détruits ? Est-ce que je ne vais rien voir du tout mais que quelqu’un va piocher dans mes contacts, mes infos personnelles, récupérer des données sur mon ordinateur… ?



    Enfin voilà quoi… Quels sont les dangers à part me faire chier dans ma boîte aux lettres ?

votre avatar

Si on ouvre la pièce jointe une macro va télécharger un malware de type Dridex qui va scanner le pc pour rechercher des informations bancaires.

votre avatar

Généralement se sont des documents word qui embarquent des macros. Des macros sont des scripts. A l’ouverture du document, la macro va s’exécuter. Généralement, la macro (donc le script) va se connecter un serveur distant pour télécharger des malwares.

&nbsp;

Un exemple :&nbsp;https://malwr.com/analysis/MDg3MDIxMzZlOWYxNDZhNmFiZDc3MWQzOGViOTgwYmY/

&nbsp;

Il s’agit de l’analyse d’un document word. Dans la partie “Network analysis”, onglet “HTTP”, on voit qu’il se connecte à un serveur pour y télécharger “33.exe”.

votre avatar

OK merci.

Donc ils sont à la recherche d’infos personnelles (et monnayables) sur les PC.

Mais à part cette intrusion malveillante dans la vie privée avec tous les risques que cela peut impliquer, y a-t-il également un risque pour l’ordinateur et les données ? Ou est-ce que ça se “limite” à de la récupération de données ?

votre avatar

D’après ce que j’ai pu lire ces derniers jours sur ce type d’attaque pour l’instant ça se limite seulement à la récupération d’informations (pour les campagnes de Spam qui tournent depuis un mois et qui incluent des fichiers Word ou Excel).

&nbsp;

Après on peut imaginer que ça pourrait évoluer pour devenir des menaces plus destructrices…

votre avatar







Nboilard a écrit :



Bonjour,

&nbsp;



&nbsp;Il est vrai que la vague de spams de ce matin est plutot importante (je nettoie les spam par lot de 200 sur notre messagerie d’entreprise …).

&nbsp;

La bonne nouvelle est que , si vous n’avez pas activé les macros dans Word, le danger est limité.



&nbsp;Ce qui m’inquiète , c’est la lenteur de réaction des éditeurs antivirus. Je signales des nouvelles variantes de ce type (virus macros Word) depuis plus de 3 mois à raison de 1-3 variantes par jour. Et il faut attendre 8 à 72 heures pour que les antivirus se mettent à jour.

&nbsp;

&nbsp;Pour l’instant, je n’ai vu que des installations de cheval de troie ou des vols de données.

&nbsp;

&nbsp;Que se passera-t-il quand les attaques utiliseront des cryptowares….

&nbsp;



&nbsp;Cordialement



Je me demande si ç’est pas un test du Gouvernement tient, une bonne grosse campagne de spam plutot que de coûteuse boite noire, ca peut aspirer pas mal de données aussi&nbsp;

&nbsp;

Lenteur de réaction des AV ? hmm, dès le début de la vague, au bout d’1h, Kaspersky m’affichait le message d’alerte dès l’arrivée dans la boîte. La DSI a reconfiguré KAV pour que les maj se fassent toutes les 60 min au lieu des 120 habituels.



Après ça ne veut pas dire que KAV dispose des éléments nécessaires pour bloquer les variantes mais ça va assez vite. De plus notre DSI a mis des règles applicables à tous pour filtrer au maximum.

&nbsp;

Le RSSI fulmine lui devant la bétise des gens en revanche&nbsp;<img data-src=" />

&nbsp;


votre avatar

Pareil depuis ce matin au boulot, et notre solution anti-spam dit amen à tout.&nbsp;

&nbsp;

Gmail détecte déjà les fichiers en questions comme “infecté”.

&nbsp;

&nbsp;Par contre, je suis intéressé de savoir ce que fait le VB dedans, j’ai pas réussi à ouvrir avec oledump :(

votre avatar

Ah donc je ne suis pas le seul, je viens de passer une heure à vérifier la conf de l’antispam…

votre avatar







megatom a écrit :



J’en reçois pas mal sur mon adresse professionnelle :

&nbsp;



Quand j’ai reçu le 1er, je me suis vraiment demandé si c’était du SPAM, car quand tu bosses avec des clients, ca arrive de recevoir des mails de ce type.

&nbsp;





Moi aussi, j’en ais reçu plein depuis ce matin … mais comme je suis un peu au courant des factures en retard, j’ai tout mis à la poubelle direct ! <img data-src=" />


votre avatar

vu le dernier reçu oui c’est pour les entreprises (histoire d’avoir de compta et autres dans le message)

votre avatar

Bizarre, reçu deux ce matin sur une boite que je n’utilise que très rarement…

votre avatar

reste plus qu’a prévenir la famille pour éviter qu’il ne foutent le bordel sur leurs PC …

votre avatar

j’avoue que l’on prend une jolie vague, beaucoup de personnes INpacté en interne mais étonnamment peu de victimes&nbsp;<img data-src=" />

&nbsp;



&nbsp;Le Rimauresq Rosé et Blanc, un choix qui ne semble pas fonctionner <img data-src=" />

votre avatar

Le .doc contient une macro VBA “inoffensive” (=pas bloquée par les antispam) qui, si elle est exécutée, va télécharger le “vrai virus” directement depuis internet.

&nbsp;

votre avatar

Je me disais aussi, j’en ai reçu un il y a 3 semaines…. mais quand je connais pas, poubelle.

votre avatar







Dedrak a écrit :



Question sérieuse : Lotus Notes est mieux ? Parce que c’est la seule alternative que j’ai vu en entreprise.





Je ne sais pas trop si ça s’est amélioré, mais à une époque c’était bien pire qu’Outlook !

&nbsp;



&nbsp;(Je me rappelle d’il y a 14 ans dans une boite, ils appelaient les emails des “lotus” vu qu’ils utilisaient Lotus notes)


votre avatar

Vérifié mes trois comptes spammables, RAS.



Rien sur mes deux outlook/hotmail.

votre avatar

soit pas si triste <img data-src=" />

votre avatar

En parlant d’outlook, les comptes qui sont créer pour l’activation des win 8.1 et futur 10, si sont jamais utilisés sont ils désactivé?

votre avatar

Une petite explication sur le fonctionnement du spam :&nbsphttp://christophe.rieunier.name/securite/Dridex/20150608_dropper/Dridex_dropper_…

votre avatar

La version utilisée par EDF (la v7) est bien pourrie. Du coup les gens sont contents de passer à Outlook.

&nbsp;

Quelle alternative est meilleure et déployable au niveau d’une entreprise ?

votre avatar

Pas reçu. Mon seul spam du jour c’est une chanteuse irakienne qui a le cancer et qui veut faire un transfert de fond… la routine, quoi.

votre avatar

J’ai reçu le même mail il y a quelque jour. Je me souviens que j’avais check si c’était un fake ou pas (L’adresse mail qui est mal foutu je trouve) et de mémoire c’était ok.

&nbsp;

De toute façon, le mail demande rien, c’est juste de l’info.

votre avatar







sscrit a écrit :



&nbsp;il n’y a que les charlot qui payent des factures sans numéro de commande&nbsp;<img data-src=" />, j’en connais quelques uns, ils ont surtout &nbsp;peur de prendre leurs responsabilités





Ils n’espèrent pas que les gens paient, juste qu’ils ouvrent le .doc.

&nbsp;


votre avatar

Lotus est correct sauf la recherche :

&nbsp;jamais vu un truc aussi peu ergonomique et avec des résultats aussi médiocres…

votre avatar







IwishIcanFLighT a écrit :



Dans le même genre j’ai reçu un email de phishing sur le dev center de Microsoft:

&#160http://puu.sh/j07I6/87fab2638b.png

 



 Toujours sympathique… <img data-src=" />





faut voir sur quel domaine pointent les différents liens et si ce domaine est effectivement rattaché à MS.


votre avatar

L’un n’empêche pas l’autre.

votre avatar

Des règles par mots-clés sur l’antispam de la boîte et bye bye :)

&nbsp;

Chez moi ces 3 mots-clés les bloquent :&nbsp;

&nbsp;VBE6.dll

&nbsp;Content-Type: application/x-mso

&nbsp;Content-Location: file:///C:

&nbsp;&nbsp;Pour avoir ouvert un de leurs fichiers, c’est un mélange de xml et de code binaire.

votre avatar

Salut,



je suis ton oncle congolais. Je suis très malade et je vais mourir. J’ai également une magnifique GWR 6800 flambant neuve dans un hangar désaffecté.



Click ici pour pour initié les démarche pour le récuperationner



<img data-src=" />

votre avatar

c’est pas du spam, ce sont les variantes de Dridex, on en bloque 6000 / jour, mais il sont malin meme avec un scan dans le cloud (22 k € / an), ils changent le fichier en *.doc.txt, du coup parfois le scanneur dans le cloud n’analyse pas…

votre avatar
votre avatar

Bonjour,

&nbsp;



&nbsp;Il est vrai que la vague de spams de ce matin est plutot importante (je nettoie les spam par lot de 200 sur notre messagerie d’entreprise …).

&nbsp;

La bonne nouvelle est que , si vous n’avez pas activé les macros dans Word, le danger est limité.



&nbsp;Ce qui m’inquiète , c’est la lenteur de réaction des éditeurs antivirus. Je signales des nouvelles variantes de ce type (virus macros Word) depuis plus de 3 mois à raison de 1-3 variantes par jour. Et il faut attendre 8 à 72 heures pour que les antivirus se mettent à jour.

&nbsp;

&nbsp;Pour l’instant, je n’ai vu que des installations de cheval de troie ou des vols de données.

&nbsp;

&nbsp;Que se passera-t-il quand les attaques utiliseront des cryptowares….

&nbsp;



&nbsp;Cordialement

votre avatar

M’en fout au pire, je viens de 500 000&nbsp; $ à la loterie Bill Gates <img data-src=" />

votre avatar

Je l’ai toujours celui là aussi. L’abonnement free mobile non payé… Pourtant je suis plus chez free depuis 1 an.

votre avatar

Pour ma part je détruit systématiquement tous les mails qui me parle de facture. La facture c’est courrier sinon ——&gt; |

votre avatar







Arcadio a écrit :



C’est une véritable plaie cette pluie de spam :

domaine perso sur Google apps = 100% des mails sont tagués spam (Gmail indique même “Virus détecté” dans le .doc en PJ),

mais domaine pro au boulot = même pas 50% des spam sont tagués (SpamAssassin/ClamAV up2date en frontal derrière un Exchange 2K7 avec les filtres antispam activés) et sur environ 200 users, bah 50 ont ouvert le .doc en PJ… (malgré un mail général de la DSI ce matin…) <img data-src=" />

 

<img data-src=" />





Condoléances, du boulot en vue.



Si j’étais patron, je convoquerai tous les gens qui ont ouvert le mail et les pièces jointes, et j’annoncerai que les frais de remise en état de leurs PC seront retenus sur leur salaire, histoire de payer les heures sup’ des gens de l’informatique.



Ne pas savoir lire, ou plus exactement ne pas tenir compte des consignes de sécurité, ça tue des gens dans une usine, et ça coute de l’argent ailleurs. Donc même tarifs.


votre avatar







John Shaft a écrit :



Salut,



je suis ton oncle congolais. Je suis très malade et je vais mourir. J’ai également une magnifique GWR 6800 flambant neuve dans un hangar désaffecté.



Click ici pour pour initié les démarche pour le récuperationner



<img data-src=" />







<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



<img data-src=" />



J’alerte Railblue, il fait la vapeur anglaise lui, ça pourrait l’intéresser.



Par contre, une Class 50 en big logo, je suis preneur.


votre avatar

Je me demande à quel point cette vague de spam est liée aux sources de Hacking Team ayant fuitées récemment …

Déjà que j’ai lu que nombre de rootkits/ransomware (Angler, Cryptowall …) les ont promptement intégré …&nbsp;<img data-src=" />

votre avatar

j’y avais pensé mais je n’ai pas osé la sortir….<img data-src=" />

votre avatar

Ouvre la pièce&nbsp; jointe pour être sur <img data-src=" />

votre avatar

Une vraie plaie cette campagne, depuis début juin que ça dure !

votre avatar







Arcadio a écrit :



C’est une véritable plaie cette pluie de spam :

domaine perso sur Google apps = 100% des mails sont tagués spam (Gmail indique même “Virus détecté” dans le .doc en PJ),

mais domaine pro au boulot = même pas 50% des spam sont tagués (SpamAssassin/ClamAV up2date en frontal derrière un Exchange 2K7 avec les filtres antispam activés) et sur environ 200 users, bah 50 ont ouvert le .doc en PJ… (malgré un mail général de la DSI ce matin…)





Clamav est hélas à la ramasse sur ce type d’attaque : j’ai reçu (sur différentes adresses de mon domaine pro) une quarantaine de fichiers docs de ce type infectés depuis 2 mois,&nbsp;je leur ai tous systématiquement reportés avec le lien VirusTotal, Jotti, la pièce jointe, le MD5 et SHA256 : absolument aucun n’est détecté à ce jour par leurs dernières bases virales…


votre avatar

Pour les factures a 30000€ virus ou malware krypt locker ou équivalent ne pas ouvrir..<img data-src=" />

&nbsp;

Tentative de l”ÉTAT” de ponctionner un peu plus les français peut être…<img data-src=" />



&nbsp;

<img data-src=" />

votre avatar

Melinda Lawson serait pas un pseudo de Nicolas S. pour payer sa future campagne électorale, sont plus a sa prêt les “Nouveaux Républicains”.<img data-src=" /> <img data-src=" />

&nbsp;



<img data-src=" />

votre avatar

Est ce qu’on sait quels sont les logiciels concernés (Word 2003,2007,2013,etc) LibreOffice et sous quels système d’exploitations ? Windows,Linux,OSX ?

votre avatar

je l’ai eu sur une hotmail avec fichier texte et pas doc word ( à moins que ce soit le filtre Ms qui a virer le word ) , direct en junk ça a été placé . pourtant cette adresse très peu l’ont .. “ lire les CGU , lire les CGU quand on ouvre un compte ” ^^’

votre avatar







chris.tophe a écrit :



Est ce qu’on sait quels sont les logiciels concernés (Word 2003,2007,2013,etc) LibreOffice et sous quels système d’exploitations ? Windows,Linux,OSX ?





Word sur Windows.



Sur Word Mac, le vb n’est pas vraiment géré (dépend des versions) et le fichier téléchargé par le .doc est un cheval de Troie Windows



Sous Linux point de Word donc pas de risque ;)

&nbsp;

LibreOffice n’exécute pas les macro dans des .doc (non compatible vb)


votre avatar







Elwyns a écrit :



je l’ai eu sur une hotmail avec fichier texte et pas doc word ( à moins que ce soit le filtre Ms qui a virer le word ) , direct en junk ça a été placé . pourtant cette adresse très peu l’ont .. “ lire les CGU , lire les CGU quand on ouvre un compte ” ^^’





Je me corrige, l’AV de MS/Outlook a bien supprimé le fichier avant de me le mettre dans ma boite au lettre , ceci dit je ne tenterais pas de l’ouvrir même pour voir le rapport :o&nbsp;


votre avatar

On en a bloqué près de 700 000 de notre côté… Les mails étaient heureusement déjà considérés comme du spam avéré et donc supprimés.

&nbsp;

votre avatar

Au boulot, &nbsp;on remarque des vagues de spam / DDOS grandisantes sur les boites mails, je pense qu’effectivement il y a une opération en cours.

votre avatar

Merci pour toutes ces infos

votre avatar

Moi aussi jean crepin me reclame du frique sinon çà change pas c’est toujours des histoires de cul malsaine…

&nbsp;

et des renoi qui invente une histoire de ouf pour qu’on lui envoie de l’argent !

votre avatar

En fait c’est le gouvernement grec qui essaye de trouver des sous <img data-src=" />

votre avatar







Mihashi a écrit :



En fait c’est le gouvernement grec qui essaye de trouver des sous <img data-src=" />





haha moi aussi c’est du .gr :p ,ils veulent renflouer la dette <img data-src=" />


Vague de spams sur fond de fausses factures

Fermer