export Thunderbird / Outlook

[johannSc]

Bonjour,

Merci pour le travail effectué sur pandora tout d'abord. Je trouve le glissé / déposé depuis un courriel sauvegardé très pratique, cependant je n'ai pas du tout le même résultat pour un mail suspect s'il est sauvegardé depuis Thunderbird ou Outlook.

Pour thunderbird, que j'exporte celui ci en txt/html/fichier de message(?), Pandora ne décèle rien d'anormal.

Par contre via outlook (export d'un msg) il détecte directement que c'est du phishing, bien entendu pour exactement le même mail.

Une idée du faux négatif sous Thunderbird? merci

PS: j'ai essayé depuis votre version online, et l'application pandora déployée en local.

[Rafiot]

Pour un mail, le plus simple est de le transférer directement (préférablement en pièce jointe) à panora@circl.lu (pour l'instance publique).

Pandora ne va en général pas identifier un mail de phishing (c'est dépendant du contexte, et il n'y pas cette logique dans l'outil), mais identifier les pièces jointes malveillantes par exemple. Donc je pense que le fait que le mail soit marqué comme malveillant est lié à l'extension envoyée (c'est plus un faux positif du coup).

Est ce que vous pouvez partager un lien vers l'analyse? Où sur l'instance publique, juste l'UUID, je vais le retrouver en admin (et avec l'UUID seulement, personne d'autre que CIRCL ne peut y accéder).

[johannSc]

Bonjour, Merci pour le retour rapide

L'uuid pour le message exporté par Thunderbird: 58187b61-eb82-4321-919f-f19827d979e6

Pour le même courriel malveillant en pièce jointe via un compte Outlook : 7a14e76f-eab3-4d63-8f8b-4dbdfda25305

[Rafiot]

Bonjour,

Effectivement, l'export depuis Thunderbird est reconnu comme un fichier texte simple et interprété comme tel. Comment avez vous fait cet export? Si j'exporte la source du mail depuis Thunderbird (mail ouvert -> More (en haut à droite) -> View Source -> File -> Save page as) et que j'envoie ce file, il est interprété comme un mail. (Note pour moi: documenter la chose)

Pour le mail depuis outlook, le retour est effectivement plus proche de ce que j'attends mais le fait que ce mail soit reconnu comme malveillant est plutôt un coup de chance qu'autre chose: l'extension ne correspond pas à ce qui est attendu pour ce mime-type.

Pandora ne va pas efficacement détecter les fausses informations (= phishing). Pour investiguer un cas comme ca, je passe par l’onglet observables et envoie les URLs dans lookyloo pour voir si le site est légitime ou pas. Dans votre cas spécifique, c'est pas pratique parce qu'il y a plein de liens (Note pour moi: détailler plus précisément où l'URL a été trouvée, nom du lien par exemple).

Une fois que j'ai trouvé la bonne URL (dans ce cas, c'est le lien sur le domaine rb.gy), et l'envoie sur Lookyloo, la capture m'indique que l'on télécharge un fichier HTML. J'ai envoyé ce fichier à pandora depuis lookyloo et de manière intéressante, ce fichier est reconnu comme malveillant par Virustotal et Hybrid Analysis. Soucis quand même: le convertisseur de pandora n'arrive pas à interpréter le contenu (c'est un javascript). Par contre, comme on a un fichier HTML, on peut le réenvoyer sur lookyloo, qui l'affiche comme il faut et on voir une fausse facture.

Ca fait pas mal d'allers retours et demande un peu d'investigation manuelle, mais c'est typiquement le genre de cas où on s'en sort. Si vous voulez les liens pandora/lookyloo correspondant, je peux vous envoyer le tout par mail (via l'adresse du mail sur pandora?).

[johannSc]

Merci pour l’investigation ! J’en concluais également que c’était un format incompatible et/ou mal interprété mais je n’avais pas testé par un export manuel.

pour thunderbird j’ai sauvegardé le courriel en texte simple et html, mais dans les deux cas ça n’était pas concluant.

Je suis intéressé oui par un retour, merci de me l’adresser à johannsc@pm.me

[Rafiot]

C'est fait, le mail est parti.

[johannSc]

Procédure indiquée dans le cas d’un export Thunderbird