Le malware Hancitor refait surface via une nouvelle campagne de courriers indésirables

Une nouvelle vague de courriers indésirables propageant le malware Hancitor (aussi connu sous le nom de Chanitor ou Tordal) a été identifiée le 23 janvier dernier. L’infection nécessite une interaction (la victime doit cliquer sur un lien) qui provoque l’installation de malwares permettant le vol d’information et l’exécution à distance de commande sur le poste infecté.   

Scénario d’infection et de propagation

Chaque courrier indésirable contient un lien permettant de télécharger un document (généralement un Word) contenant des macros. Ces macros exploitent la vulnérabilité référencée CVE-2017-11882 permettant de l’exécution de code à distance. Une fois lancé, Hancitor télécharge alors deux ou trois malwares supplémentaires (généralement Pony, Evil Pony, et Zeus Panda Banker).

Recommandations

Pour limiter les risques inhérents à cette campagne, il est recommandé de :

  1. Mettre en place les patchs Microsoft permettant la correction de la vulnérabilité CVE-2017-11882
  2. Réaliser une communication aux utilisateurs, leur présentant la campagne et leur rappelant les bonnes pratiques lors de la manipulation de courrier indésirables
  3. Bloquer les domaines permettant la propagation des courriers indésirables. Le domaine identifié actuellement est chartersteeltrading.com (adresse usurpée)
  4. Bloquer le trafic post-infection et notamment les adresses suivantes :
  • api.ipify.org - GET / (IP address check by the infected host, not inherently malicious)
  • 95.213.222.52 port 80 - littarhapone.com - POST /ls5/forum.php
  • 95.213.222.52 port 80 - littarhapone.com - POST /mlu/forum.php
  • 95.213.222.52 port 80 - littarhapone.com - POST /d2/about.php
  • 208.113.155.211 port 80 - www.boltboxmarketing.com - GET /wp-content/plugins/js_composer/config/1
  • 208.113.155.211 port 80 - www.boltboxmarketing.com - GET /wp-content/plugins/js_composer/config/2
  • 208.113.155.211 port 80 - www.boltboxmarketing.com - GET /wp-content/plugins/js_composer/config/3
  • 185.186.244.86 port 443 - suptalefthed.ru - HTTPS/SSL/TLS traffic from Zeus Panda Banker
  • 27.124.124.97 port 80 - yoyostudy.com.au - GET /62a.exe (Send-Safe spambot malware)
  • 31.44.184.62 port 50011 - Send-Safe SSL traffic
  • 31.44.184.62 port 50012 - Send-Safe Enterprise Mailer UDP beacon traffic