Selected news item is not available in the requested language.

Italian language proposed.

Close

23/09/2019
08:30

2019W38 Report settimanale => 23-27/09 2K19 campagne MalSpam target Italia


Analisi a cura del C.R.A.M. di TG Soft => FTCode - Emotet - UrSnif - PSWStealer - Injector
      
week38

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 21 al 27 settembre 2019: Emotet, Ursnif, PSWStealer, Injector

INDICE

  ==> 23 Settembre 2019 => FTCode - Emotet
 
  ==>
24 Settembre 2019 => Emotet - Ursnif - PSWStealer

  ==>
25 Settembre 2019 => Emotet - Ursnif - Injector

  ==>
26 Settembre 2019 => Emotet

  ==>
27 Settembre 2019 => Emotet

 
==> Consulta le campagne del mese di Settembre


23 settembre 2019

FTCODE

Lunedì 23 settembre 2019 per alcuni utenti ancora infetti dal malware Trojan Banker GootKit  e che non hanno provveduto a bonficare i propri PC hanno avuto una sorpresa ancor più amara. Infatti possiamo ipotizzare che poco prima delle 10 del mattino tramite il malware JasperLoader nominato normalmente " WindowsIndexingService.js " che è presente nel PC delle vittime e che viene utilizzato per mantenere attivo ed aggiornato il malware GootKit, è stato scaricato un ransomware " FTCode ".

Documento del riscatto che viene lasciato nel PC della vittima:
 


Sito Tor-Onion per il pagamento del riscatto:
 

Emotet

Anche la settimana lavorativa del 23 settembre 2019 parte con un invio massivo di malspam che veicola il malware Emotet, noto malware Bancario. Qui di seguito uno degli esempi di email analizzata:



In allegato è presente un documento Word che contiene una MACRO che sfruttando un comando di powershell andrà a contattare uno dei cinque siti che si trovano nello script.

MESSAGIO 30418800.doc
MD5: 56d47781e43cc53702a12bd6634af3d5
Dimensione: 156672 Bytes
VirIT: W97M.Downloader.BSF

nextreports.exe
MD5: 23d5ae6d628d21faf98e8f29c7f91b1a
Dimensione: 221184 Bytes
VirIT: Trojan.Win32.Emotet.BSF


IOC:
56d47781e43cc53702a12bd6634af3d5
23d5ae6d628d21faf98e8f29c7f91b1a

s://time-dz[.]com/wp-admin/tp0225/
s://maddykart[.]com/wp-content/r3e1dy202939/
p://garantitaksi[.]com/wp-content/a47/
s://riversidehoanghuy[.]com/cgi-bin/oodz286/
p://www.vnswebtech[.]com/wp-content/45dw83/
Torna ad inizio pagina
 

24 settembre 2019

Emotet

Campagna di malspam che veicola il Trojan Banker Emotet tramite l'apertura di un documento Excel in allegato alla mail con un esempio di oggetto " Invio fattura " del 24 settembre 2019:
 

YC76039818755016850922.doc
MD5: 3d63da51cfc6a3ba06fb6fd882d10251
Dimensione: 135680 Bytes
VirIT: W97M.Downloader.BSH

gestureicons.exe
MD5: 4347afe788bc28fcff8c830c2c96f36d
Dimensione: 663552 Bytes
VirIT: Trojan.Win32.Emotet.BSH


IOC
:
3d63da51cfc6a3ba06fb6fd882d10251
4347afe788bc28fcff8c830c2c96f36d

s://bibiniweb.ga/wp-admin/w5c-aejv-766135/
s://glasstele.com/wp-admin/2f6j-wgmud8kazg-8975/
s://mamaberter.com/wp-includes/dcgLkif/
s://createyourwebsitetoday.com/focus/HNJVAWqEq/
s://www.meharbanandco.net/wp-content/zthQVpov/
Torna ad inizio pagina

Ursnif

Sempre in data 24 settembre 2019 abbiamo un'altra email di malspam che veicola il malware Ursnif qui di seguito una mail di esempio analizzata:
 

All'interno del file zippato in allegato è presente un documento di Word " info_09_24.doc " che se avviato andrà a scaricare il malware nel PC e rimarrà attivo per carpire i dati del malcapitato.

info_09_24.doc
MD5: 368bd3ad7ddb1725bbcf01ebd797f925
Dimensione: 81408 Bytes
VirIT: W97M.Downloader.LX

(PAYLOAD Ursnif)
MD5: ae7d08ac857d499abf55165769baab2d
Dimensione: 1537536 Bytes
VirIT: Trojan.Win32.Ursnif.LF

Configurazione URs

Configurazione Ursnif
Gruppo ID: 3456
Versione: 214085
Chiave: 10291029JSJUYNHG

IOC
:
368bd3ad7ddb1725bbcf01ebd797f925
ae7d08ac857d499abf55165769baab2d

gimentpook[.]com/qoie8rg/m1m2m.php?l=psotr3.hg -> 185[.]174.172.201
link[.]mesondelprincipe[.]com -> 185[.]127.27.238
link.406lawyers[.]net
link[.]miamicoffeebar[.]com
line[.]alicetheguru[.]com
line[.]harpbyrequest[.]com
line[.]orangetheorymb[.]com
line[.]rosenstock[.]net
line[.]zepcnc[.]com
atbstroy[.]com
stat-football[.]com
litum[.]org
107gam[.]com
10bonusonline24[.]info
Torna ad inizio pagina
 

PSWStealer

Altra campagna analizzata dal C.R.A.M. di TG Soft veicola un PSWStealer, qui di seguito un esempio di email:


ORDINE 196911337.exe
MD5: 850566746df5d531bd228dc853f3f28d
Dimensione: 1164800 Bytes
VirIT: Trojan.Win32.PSWStealer.BSH

SystemPropertiesDataExecutionPrevention.exe
MD5: 037a9237d650fd0ae7f9198851da674d
Dimensione: 1164804 Bytes
VirIT: Trojan.Win32.PSWStealer.BSH


IOC:
037a9237d650fd0ae7f9198851da674d
850566746df5d531bd228dc853f3f28d

sun-clear[.]net
161.117.200.235
Torna ad inizio pagina

PSWStealer

Altra tipologia di PSWStealer analizzata dai ricercatori del C.R.A.M. di TG Soft, esempio di email qui di seguito:



Documento di trasferimento di Banca Intesa Sanpaolo doc.exe
MD5: 8b99f936d8c41b4a8dc0978adad8fd55
Dimensione: 333513 Bytes
VirIT: Trojan.Win32.PSWStealer.BSI

IOC:
405eca3af0fccdb8c7549be9785da024

Torna ad inizio pagina

 

25 settembre 2019

Emotet

Anche in data 25 settembre 2019 i ricercatori del C.R.A.M. di TG Soft hanno analizzato un'altra campagna di malspam che veicola il Trojan Banker Emotet , qui di seguito un esempio di email contente un documento che se avviato andrà a scaricare il malware:



Dati 25 092019.doc
MD5: 16a60f6ff2b0718d12e9c2a83118e5bd
Dimensione: 142848 Bytes
VirIT: W97M.Downloader.BSJ

nextreports.exe
MD5: f094fd399b431f1ddb299e3722f5c2bb
Dimensione: 372736 Bytes
VirIT: Trojan.Win32.Emotet.QI


IOC:
16a60f6ff2b0718d12e9c2a83118e5bd
f094fd399b431f1ddb299e3722f5c2bb

p://esoftlensmurah[.]com/wp-admin/x0300/
p://dtupl[.]com/wp-admin/g3ei2390/
p://every-day-sale[.]com/ab/1kxf6j325978/
p://examples.xhtmlchop[.]com/psd_to_wordpress/qi01645/
p://fashionupnext[.]com/wp-content/0j6w3at1/
Torna ad inizio pagina
 

Injector

Altra campagna analizzata dal C.R.A.M. di TG Soft con esempio riportato di seguito:



All'interno del file zippato è presente un eseguibile che andrà attivarsi nel PC utilizzando tecniche di Injection

SKMBT_C9084625485213.PDF.exe
MD5: 89b49da9cd9856f8fa85fe36588d6108
Dimensione: 1595392 Bytes
VirIT: Trojan.Win32.Genus.BSJ

IOC:
89b49da9cd9856f8fa85fe36588d6108


Ursnif

Sempre in data 25 settembre 2019 abbiamo un'altra email di malspam che veicola il malware Ursnif qui di seguito una mail di esempio analizzata:
 

Il documento di Excel " Documento1_sollecito_0523_del_25092019.xls " che contiene una MACRO malevole che se avviata cercare di scaricare il PAYLOAD del malware nel PC e rimanere attivo per carpire i dati del malcapitato.

Documento1_sollecito_0523_del_25092019.xls
MD5: df4ad9d1c8ef60dc06734d48d525fbc3
Dimensione: 76288 Bytes
VirIT: X97M.Downloader.BSJ

(PAYLOAD Ursnif)
MD5: c862cb5b85e884888eb64812fed72162
Dimensione: 1711616 Bytes
VirIT: Trojan.Win32.Ursnif.BSJ

Configurazione Ursnif
Gruppo ID: 3458
Versione: 214085
Chiave: 10291029JSJUYNHG

IOC
:
df4ad9d1c8ef60dc06734d48d525fbc3
c862cb5b85e884888eb64812fed72162

twbaayoe[.]com/images
link[.]mesondelprincipe[.]com
link[.]406lawyers[.]net
link[.]miamicoffeebar[.]com
line[.]alicetheguru[.]com
line[.]harpbyrequest[.]com
line[.]orangetheorymb[.]com
line[.]rosenstock[.]net
line[.]zepcnc[.]com
atbstroy[.]com
stat-football[.]com

26 settembre 2019

Emotet

Anche giovedì 26 settembre 2019 i ricercatori del C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware Emotet, qui di seguito viene riportato un campione dell'email:



informazioni_092019.doc
MD5: b7a3de6b75e2d5c2c2f4cd91bc725511
Dimensione: 223232 Bytes
VirIT: W97M.Downloader.BSK

nextreports.exe
MD5: 1fa2ebd954428600daee99e4aea99e3a
Dimensione: 245760 Bytes
VirIT: Trojan.Win32.Emotet.BSL


IOC:
b7a3de6b75e2d5c2c2f4cd91bc725511
1fa2ebd954428600daee99e4aea99e3a

p://elisabietta.com/wp-content/44bj2z00/
p://costaging.com/staffheroes/ak9qqa045/
p://dimsum.xp-gamer.com/cgi-bin/nl72965/
p://demo.econzserver.com/blackhood/gkxo2/
p://eastwoodoutdoor.com/cgi-bin/t3186/
Torna ad inizio pagina

 

27 settembre 2019

Emotet

Anche in data 27 settembre 2019 i ricercatori del C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware Emotet, qui di seguito viene riportato un campione dell'email:



Scan_20192709_20849.doc
MD5: da7ddf498a8dc1dff20fcec2de417b03
Dimensione: 248832 Bytes
VirIT: W97M.Downloader.BSN

nextreports.exe
MD5: dc9702d1096430082d8f2fbfad4a5229
Dimensione: 143360 Bytes
VirIT: Trojan.Win32.Emotet.BSN


IOC:
da7ddf498a8dc1dff20fcec2de417b03
dc9702d1096430082d8f2fbfad4a5229

p://hoghooghonline[.]legal/z0ctc/sxz-2owg9p-22352955/
p://vanividyalaya[.]edu[.]in/calendar/9y8esz-lpn4-01947/
p://softcodeit[.]mobi/wp-admin/8gvawgq-r9y0aaf-7730/
p://parrainagemalin[.]fr/__MACOSX/ExSRKWV/
s://e10tv[.]com/test/n8mg91zjhg-u3xvyy-205705655/

Torna ad inizio pagina
 

Consulta le campagne del mese di Settembre

Vi invitiamo a consultare i report del mese di Settembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

16/09/2019 => Report settimanale delle campagne italiane di malspam dal 16 al 20 settembre 2019
09/09/2019 => Report settimanale delle campagne italiane di malspam dal 07 al 13 settembre 2019
02/09/2019 => Report settimanale delle campagne italiane di MalSpam dal 31 agosto al 06 settembre 2019

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: