Mail chronopost, doute si fraude, virus ou non

azerty -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour, je viens de recevoir un mail de chronopost, ce mail me dit qu'un colis est arrivé au point relais et qu'il sera disponible sous 14 jours.
Le mail est sans fautes d'orthographes, il y'a bien l'enseigne chronopost, il a vraiment l'air "clean". Cependant il 'a un lien qui est censé donner des informations sur le point relais et le colis.
Ce lien est du domaine vk.com, l'url est assez bizarre et surtout, c'est un lien de téléchargement vers un .exe qui s"appelle tracking paket - suivre votre colis.exe
y'a une belle faute à paquet, ça pue l'esbroufe
Je ne l'ai pas téléchargé, ça m'a l'air très douteux, mais le souci c'est que l'adresse mail de l'expéditeur est ne-pas-repondre@chronopost .fr, je crois bien que c'est l'adresse chronopost officielle.
En vérifiant des vrais mails chronopost de ma boite de réception, ils ont la même adresse mail.

9 réponses

Résumé de la discussion

Un courrier prétendant provenir de Chronopost affirme qu'un colis est arrivé au point relais et propose un lien menant à un fichier exécutable, ce qui semble constituer une tentative de phishing ou d'infection. Des éléments techniques indiquent que le lien redirige vers vk.com et télécharge un exécutable nommé Tracking paket - Suivi Votre colis.exe, détecté comme malware par plusieurs moteurs antivirus et pouvant installer TeamViewer. Les discussions évoquent aussi que l'expéditeur peut sembler officiel avec l'adresse ne-pas-repondre@chronopost.fr, mais que l'adresse et les liens factices, ainsi que des domaines douteux, trahissent la fraude. En cas de doute, il est recommandé de ne pas cliquer, de vérifier directement via le site officiel ou l'application Chronopost et de signaler le message comme phishing.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ce malware installe Teamviewer... en msiexec.exe et injecte aussi le processus msiexec.exe

    La détection n'est pas terrible :

    SHA256: 37d251842125cdc4c02f54db02ec95c1bfff43630a14ce0ed26cb711d7e7e70a
    File name: Tracking+paket+-+Suivi+Votre+colis.exe
    Detection ratio: 4 / 56
    Analysis date: 2016-06-07 06:41:59 UTC ( 3 hours, 10 minutes ago )
    0 1
    Analysis
    File detail
    Additional information
    Comments 0
    Votes
    Behavioural information
    Antivirus Result Update
    Avira (no cloud) TR/Dropper.yfzs 20160607
    Kaspersky UDS:DangerousObject.Multi.Generic 20160607
    McAfee-GW-Edition BehavesLike.Win32.Downloader.cc 20160607
    Qihoo-360 HEUR/QVM42.1.Malware.Gen 20160607




    Veuillez appuyer sur une touche pour continuer la désinfection...
    10
    1. Pierre1310 Messages postés 8854 Statut Membre 652
       
      ba tiens tw bizarre tout ça ^^
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ca va là : hxxp://master.dyngate.com/din.aspx?s=00000000&client=DynGate&rnd=376332944&p=10000001

      "This site is running TeamViewer."
      0
    3. Pierre1310 Messages postés 8854 Statut Membre 652
       
      au moins ils sont inventif si je puis dire.
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Pierre1310 Messages postés 8854 Statut Membre
       
      ouais mais il est un peu buggué : https://twitter.com/malekal_morte/status/740120530091659265

      Ca semble être semi-pro.
      Par contre, jamais vu ce genre de malwares.
      0
    5. Pierre1310 Messages postés 8854 Statut Membre 652
       
      Par contre, à part avoir pirater une adresse mail de chronopost, je ne vois pas comment ils ont fait pour en avoir une :(
      0
  2. Pierre1310 Messages postés 8854 Statut Membre 652
     
    Salut,

    De toute façon si tu n'as rien commandé c'est forcément une arnaque :)
    0
    1. azerty
       
      j'ai il y'a peu commandé sur un site americain, ça m'a donc fait douter
      et j'ai aussi reçu il y'a peu un colis chronopost donc bon :)
      0
    2. Pierre1310 Messages postés 8854 Statut Membre 652
       
      Un chronopost des usa?
      0
      1. dom17 Messages postés 1077 Statut Membre 245 > Pierre1310 Messages postés 8854 Statut Membre
         
        USPS priority mail → Colissimo
        USPS priority mail Express → Chronopost
        0
    3. azerty
       
      non europe pour le chronopost, usa c'est dhl je crois
      0
      1. dom17 Messages postés 1077 Statut Membre 245 > azerty
         
        DHL USA → DHL France
        USPS priority mail Express (USA) → Chronopost France
        0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    C'est possible d'avoir un screenshot du mail pour faire un article ?
    Je masquerai les adresses emails (ou fais le).
    0
    1. carojul
       
      bonjour,
      j'ai reçu la même chose, j'ai fait une recherche et sur le site de chronospost ils disent que si on reçoit depuis leur adresse ***@*** c'est tout bon. Du coup j'ai cliqué sur le lien ça m'a ouvert un fichier.exe que je n'ai pas ouvert. J'ai tout fermé mais est-ce que je risque quand même quelque chose rien qu'en cliquant sur le lien??
      merci de votre réponse bonne journée
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > carojul
         
        Si tu ne l'as pas exécuté, c'est bon.
        Tu peux faire une capture d'écran de ce mail stp.
        0
    2. carojul
       
      ah merci! non je ne l'ai pas exécuté car je me suis dit que c'était quand même bizarre d'avoir un .exe pour un chronopost. J'ai tout fermé.
      0
  4. azerty
     
    je vais faire un screen du mail et le poster sur un hébergeur
    0
    1. azerty
       
      le screen : http://www.hostingpics.net/viewer.php?id=954037capturemail.jpg
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > azerty
         
        Merci beaucoup =)
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sharkuter Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    reçu le mail mail ce matin à 4h30 et comme j'attendais un colis chronopost aujourd'hui depuis 2 semaines j'ai ouvert le mail. Apres c'est l'ordi de la boite et non mon perso.
    en cliquant sur le lien on se redirige vers le telechargement d'un fichier .exe s'intitulant tracing paket. en cliquant dessus ça telecharge et rien ne s'ouvre hormis une page blanche. Rien n'est detecté par office scan.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Salut,

      Le lien aboutit à un Trojan : https://www.malekal.com/trojan-teamviewer/

      Si tu veux vérifier l'ordinateur en cas de doute :

      Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

      Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
      • FRST.txt
      • Shortcut.txt
      • Additionnal.txt


      Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
      0
    2. azerty
       
      Je viens de lire, en gros ça installe Teamviewer et contrôle le PC grâce à ce logiciel ?

      Ca a l'air d'être du sérieux pour le coup
      0
    3. Pierre1310 Messages postés 8854 Statut Membre 652
       
      Tu sais, il ne vas pas s'amuser à pirater ton pc pour changer ton fond d'écran :)
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > azerty
       
      Un trojan qui installe teamviewer en lousdé oui.
      0
    5. Pierre1310 Messages postés 8854 Statut Membre 652
       
      Après, c'est du même niveau que pour pirater un serveur, tu te fais une place, puis tu télécharge un lien qui va ramener ta "boite à outils" pour la suite :)
      0
  7. sharkuter Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Le faux fichier de colis est en cours d'exécution...


      Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

      Ouvre le bloc-notes : Touche Windows + R,
      Dans le champs "Exécuter", saisir notepad et OK.
      Copie/Colle dedans ce qui suit :

      CreateRestorePoint:
      CloseProcesses:
      () C:\Documents and Settings\infirmerie\Mes documents\Downloads\Tracking paket - Suivi Votre colis (1).exe
      2012-08-22 01:00 - 2012-08-22 01:00 - 0053178 _____ () C:\Documents and Settings\infirmerie\Application Data\LollBourgeon.rPB
      2016-06-06 06:35 - 2016-06-06 06:35 - 0069632 _____ () C:\Documents and Settings\infirmerie\Application Data\SFhelper.dll
      2004-07-07 01:00 - 2004-07-07 01:00 - 0002432 _____ () C:\Documents and Settings\infirmerie\Application Data\SkidPiragua.T
      CreateRestorePoint:
      Reboot:


      Une fois, le texte collé dans le Bloc-notes,
      Menu "Fichier" puis "Enregistrer sous",
      A gauche, place toi sur le Bureau,
      Dans le champs en bas, nom du fichier mets : fixlist.txt
      Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

      Relance FRST et clique sur le bouton "Corriger / Fix"
      Un redémarrage sera peut-être nécessaire ( pas obligatoire )
      Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

      Redémarre l'ordinateur.


      Refais un scan FRST et donne les nouveaux rapports via pjjoint.
      0
    2. sharkuter Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
       
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > sharkuter Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
         
        ca semble correct.
        Change tes mots de passe au cas où.
        0
  8. Christian* Messages postés 4874 Statut Membre 2 433
     
    Perso j'ai reçu un appel comme quoi on doit me livrer un colis mais qu'on ne trouve pas mon adresse. il faut que je téléphone à un numéro en
    08 pour cela !
    c'est purement et simplement de l'arnaque !!!
    0
  9. sharkuter Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    nouveaux rapports envoyés
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    oui malicieux, tu peux donner le lien stp =)
    et une capture d'écran du mail :)

    Veuillez appuyer sur une touche pour continuer la désinfection...
    -1
    1. azerty
       
      voici le lien (attention à l'exe, c'est un virus)
      http://accord-global.eu/inputLTNumbers90041N90041oJahia.do

      à la base, le nom de domaine est vk.com, il est inscrit avant l'adresse que j'ai donné; vk.com (un truc russe) redirige vers ce lien

      l'adresse mail qui l'envoie est pas une adresse bidon qu'on voir arriver, c'est la même adresse mail que chronopost, et le mail est plutot bien fait
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > azerty
         
        ce serait possible d'avoir une copie d'écran du mail stp ?
        0