TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

02/09/2019 10:56:02 - Report 31/08-06/09 campagne MalSpam target Italia

      
week35

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 31 agosto 2019 al 06 settembre 2019: JRAT/Adwind, GootKit, Ursnif e NanoCore

INDICE

  ==> 31 Agosto 2019
 
  ==> 03 Settembre 2019

  ==> 04 Settembre 2019

  ==> 05 Settembre 2019


31 agosto 2019

JRAT - Adwind

In data 31 agosto 2019 il C.R.A.M. di TG Soft ha riscontrato l'invio di malspam che sembravano, ad un occhio non attento, pervenire direttamente da una email istituzionale.
Esempio di email analizzata:


Nell'email è presente un file zippato "Macchine-Dismesse2019.rar" che al suo interno contiene un file VBS "Macchine-Dismesse2019.vbs"

Macchine-Dismesse2019.vbs
MD5: ef1d5fc969d238792699d48ec0bdc4f4
Dimensione: 1294 Bytes
VirIT: Trojan.VBS.Dwnldr.BRF

mWdoJMJWYBe.uKJDzQ
MD5: 3a7ef1b75947cdf65b53386750a67bdc
Dimensione: 492235 Bytes
VirIT: Trojan.Java.Adwind.BRK

Al momento dell'esecuzione lo script VBS effettuerà il download del malware dal dominio "http://www[.]farmaciastefani[.]it/sete/okp0.jar" e lo eseguirà, questa tipologia di malware denominato "JRAT" o "Adwind" fa parte di quei malware Spyware che ha nel suo intento principale quello di spiare il malcapitato e poterne rubare dati e/o password presenti nel PC.


IOC:
ef1d5fc969d238792699d48ec0bdc4f4
3a7ef1b75947cdf65b53386750a67bdc
3bdfd33017806b85949b6faa7d4b98e4
781fb531354d6f291f1ccab48da6d39f
a32c109297ed1ca155598cd295c26611

www[.]farmaciastefani[.]it/sete/okp0.jar
31.11.32.139
Torna ad inizio pagina
 

03 settembre 2019

GootKit

Email pervenuta in data 03 settembre 2019 tramite PEC. Uno degli oggetti con la quale l'email veniva inviata è "Avvisi Di Addebito 3278789" ed il corpo del messaggio, molto scarno, si presenta così: 
 


All'interno del file zippato "Avv_scan_7607273.zip" che si trova in allegato troviamo un documento Word "fattura_scan_48466.doc" che tramite la macro esegue un comando di powershell.exe contente il codice offuscato che permetterà di scaricare il Trojan Banker GootKit ed un file JavaScript: "WindowsIndexingService.js"

fattura_scan_48466.doc
MD5: ecd5d4f61f74007a39d5579c5ed294c1
Dimensione: 142336 Bytes
VirIT: W97M.Downloader.BRH

ePowerTray32.exe
MD5: 23e26f6748b07db1b464f5d237917282
Dimensione: 192000 Bytes
VirIT: Trojan.Win32.GootKit.BRH

WindowsIndexingService.js
MD5: f6b49bd5178d8ad36731f11b6bd7356b
Dimensione: 17172 Bytes
VirIT: Trojan.JS.Dropper.BRH


IOC:
ecd5d4f61f74007a39d5579c5ed294c1
f6b49bd5178d8ad36731f11b6bd7356b
23e26f6748b07db1b464f5d237917282
f01c27b87556b86970509aa2803f5c56

wwd[.]hollishealth[.]com
185.189.151.24
img[.]blumenstock[.]com
176.10.118.143
https://me[.]jmitchelldayton[.]com/rbody320
185.158.248.133
wws[.]guidemyhunt[.]com
Torna ad inizio pagina

Ursnif

Sempre in data 3 settembre 2019 è stata analizzata un'altra campagna di malspam che veicola un altro Trojan Banker nello specifico trattasi di Ursnif.
Qui di seguito è possibile vedere uno degli esempi di email esaminate dal C.R.A.M. di TG Soft:
 

All'interno del file zippato, è presente un documento Word che attraverso la Macro andrà a scaricare il Trojan Banker Ursnif che rimarrà attivo nel PC per cercare di rubare le credenziali di accesso all'home banking, caselle di posta, etc.

info_09_03.doc
MD5: 763563db0cb6ae2b152ed282eb9bbc9d
Dimensione: 89432 Bytes
VirIT: W97M.Downloader.BRH

(Ursnif Payload)
MD5: 544b9c7f6020fe393b45ab67f04044b3
Dimensione: 755712 Bytes
VirIT: Trojan.Win32.Ursnif.BRH

Configurazione Ursnif
Gruppo ID: 3433
Versione: 214085
Chiave: 10291029JSJUYNHG


IOC:
763563db0cb6ae2b152ed282eb9bbc9d
544b9c7f6020fe393b45ab67f04044b3

hsz59c1evs1h30[.]com
195.54.162.250
oupfqhmkezgnvi[.]com
95.142.46.167
m87770f3jlmmbz[.]com
5.253.62.236
Torna ad inizio pagina


04 settembre 2019

Ursnif

Altra campagna di malspam che veicola il Trojan Banker Ursnif tramite l'apertura di un documento Excel in allegato alla mail.



Il documento Excel presente come all'allegato "Invio doc_000660_000_030919_045815.xls" nella mail analizzata contiene una Macro che sfruttando un codice offuscato andrà a scaricare il Trojan Banker Ursnif per infettare il computer e poterne carpire i dati.

Altri oggetti dell'email che sono stati riscontrati nella campagna sono:
  • pro forma
  • Conferma N° ********
  • Invio Fattura
  • nuova pro forma
  • Fattura n. ***/*** del **/**/****
  • Spedizone
  • SRL - INVIO COPIA Fattura ** del **-**-****
  • Invio documento n..***** del **/**/**


Invio doc_000660_000_030919_045815.xls
MD5: 9f0e288a0e0aa78e4ee3cdfbad19eeea
Dimensione: 79360 Bytes
VirIT: X97M.Downlaoder.HJ

(Ursnif Payload)
MD5: 7870636abb7f194301160d5f25edb815
Dimensione: 196608 Bytes
VirIT: Trojan.Win32.Ursnif.BRJ

Configurazione Ursnif
Gruppo ID: 3007
Versione: 214085
Chiave: 10291029JSJUYUON


IOC:
9f0e288a0e0aa78e4ee3cdfbad19eeea
2e701df9d4a41491a31b5e1e3ed43a04
7870636abb7f194301160d5f25edb815

alloiudh[.]casa
37.120.145.208
newupprolods[.]club
31.214.157.58
newupprolods[.]fun
185.212.47.199
aliiuyrt[.]space
46.21.153.52
aliiuyrt[.]xyz
23.227.201.168
Torna ad inizio pagina
 

05 settembre 2019

Gootkit

Anche in data 5 settembre 2019 i ricercatori del C.R.A.M. di TG Soft hanno analizzato un'altra campagna di malspam che tramite invio di email PEC distribuiva il Trojan Banker GootKit, questa volta sembrava che la mail potesse pervenire dal "Tribunale di Campobasso" qui di seguito un esempio della campagna in oggetto:



Aprendo il file "Notificazione-47496.doc", contenuto nell'allegato email "Notificazione1520858.zip", si attiverà una macro che scaricherà il malware Trojan Banker GootKit.

Notificazione-47496.doc
MD5: 78c1d3f8440882f0e666e327e0bccb70
Dimensione: 144896 Bytes
VirIT: W97M.Downloader.BRL

SynTPHelper64.exe
MD5: 768d2bef26975c7c15767944a71259d4
Dimensione: 192512 Bytes
VirIT: Trojan.Win32.GootKit.BRL

WindowsIndexingService.js
MD5: 14481445096d1e840a8b65c03e26ce6d
Dimensione: 18336 Bytes
VirIT: Trojan.JS.Dropper.BRL


IOC:
78C1D3F8440882F0E666E327E0BCCB70
768D2BEF26975C7C15767944A71259D4
7F3D8990A4A0BCF275C5AC194DAA400D
F462579391830462E288C720FDDEE79E

wow[.]doorattendants[.]com
194.76.224.45
pro[.]prosperitybookkeeping[.]net
185.189.151.24
176.10.118.143
https://me[.]jmitchelldayton[.]com/rbody32
185.158.248.133
Torna ad inizio pagina

NanoCore

Sempre in data 5 settembre 2019 i ricercatori del C.R.A.M. hanno analizzato un'altra campagna di malspam con finto mittente le "Poste Italiane". Nell'email analizzata i CyberCriminali cercano di far aprire il file in allegato con la scusa di poter vincere un'auto o una somma in denaro, qui di seguito viene riportato un campione dell'email:



All'interno del file zippato è presente un file eseguibile che dopo essere stato eseguito sfrutterà una delle sue peculiarità per rimanere attivo in maniera silente nel PC della vittima. La tecnica utilizzata è quella dell'Injection tecnica molto sofisticata per nascondersi nel sistema operativo del malcapitato.

Questo tipo di malware NanoCore fa parte della famiglia dei RAT (Remote Access Trojan) che consente ai CyberCriminali di avere accesso al computer della vittima ed avere la possibilità di rubare dati ed eseguire varie operazioni nel/dal PC infetto.

Poste italiane Dettagli sulla spedizione del cliente doc.exe
MD5: a2b204eba4e6878831919ba8baf52b5e
Dimensione: 1101824 Bytes
VirIT: Trojan.Win32.NanoCore.BRM



IOC:
a2b204eba4e6878831919ba8baf52b5e
79.134.225.75:5626

 



C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft


Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283