Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 5 ottobre 2019 al 11 ottobre 2019: Emotet, Ursnif, FTCode, LokiBot, NanoCore

INDICE

==> 07 Ottobre 2019 => Emotet - NanoCore - LokiBot - FTCode - Ursnif

==> 08 Ottobre 2019 => Emotet - Ursnif

==> 09 Ottobre 2019 => Emotet - Ursnif - FTCode

==> 10 Ottobre 2019 => Emotet - Ursnif

==> 11 Ottobre 2019 => Emotet - Ursnif

==> Consulta le campagne del mese di Settembre

07 ottobre 2019

Emotet

Lunedì 7 ottobre 2019 il C.R.A.M. di TG Soft ha analizzato varie campagne di malspam, tra cui quella che tramite un documento Word che all'interno contiene un MACRO scarica il Trojan Banker Emotet

Di seguito un esempio di email analizzata:

MESSAGIO 2019.doc
MD5: ddd91c2e1a18db5f43dc01d678faf5b6
Dimensione: 162816 Bytes
VirIT: W97M.Downloader.BSZ

tabletpublish.exe
MD5: 482fa3cc6397a63610118ea021c0628f
Dimensione: 274432 Bytes
VirIT: Trojan.Win32.Emotet.BSZ

IOC:
ddd91c2e1a18db5f43dc01d678faf5b6
482fa3cc6397a63610118ea021c0628f
p://efectivafm[.]com/wp-includes/fde9lts8/
p://www.thepartnerships[.]com/lwyqoup/ikl1423/
s://techecn[.]com/installl/41v4ggw7075/
s://dahuanigeria[.]com/cgi-bin/635/
s://capitalpremiumfinancinginc[.]com/cgi-bin/v53/

Torna ad inizio pagina

NanoCore

Sempre in data 07 ottobre 2019 è stata riscontrata un'altra campagna di malspam che veicolava il malware NanoCore

All'interno del file zippato " orderinrequest.r11 " è presente il payload del malware con le seguenti caratteristiche:

orderinrequest.exe
MD5: 18cba9b1bdc4d40df26b2aa55bac776b
Dimensione: 1270272 Bytes
VirIT: Trojan.Win32.PSWStealer.BSZ

IOC:
18cba9b1bdc4d40df26b2aa55bac776b

Torna ad inizio pagina

LokiBot

Sempre in data 7 ottobre 2019 altra massiva campagna di malspam che veicola il malware LokiBot, qui di seguito uno degli esempi di email analizzata:

In allegato è presente un file zippato " OC_19004178_Rev_0.rar " con all'interno il file eseguibile del malware.

OC_19004178_Rev_0.exe

MD5: 3a7d029a01a5bcea45449e682fdd2e22
Dimensione: 987136 Bytest
VirIT: Trojan.Win32.PSWStealer.BTA

IOC:
3a7d029a01a5bcea45449e682fdd2e22
p:// sun-clear.net
5.101.51[.]113
p://alphastand[.]trade/alien/fre.php
s://sun-clear[.]net:8443

Torna ad inizio pagina

FTCode

Una campagna massiva di malspam tramite account PEC analizzata dal C.R.A.M. di TG Soft che distribuisce il ransomware FTCode.
Oggetto della mail " SOLLECITO diffida e messa in mora ":

All'interno del file zippato è presente un documento Word che tramite una MACRO andrà a scaricare nel PC della vittima il ransomware per la cifratura dei file presenti nel PC stesso con estensione " .FTCode ", chiedendo poi un riscatto in denaro per poterli riavere.

La versione di FTCode analizzata è la " 1003.1 " e nel caso venisse eseguito con diritti di amministratore avrebbe la possibilità di cancellare le shadowcopy di Windows.

In figura sottostante istruzioni del riscatto del ransmoware FTCode.

New_Scan.doc
MD5: d5923caed11ad3fee6d0a6faec08c580
Dimensione: 11534337 Bytes
VirIT: W97M.Downloader.BSZ

WindowsIndexingService.vbs
MD5: ac58dc907d10641ed1afd542b636249e
Dimensione: 147990 Bytes
VirIT: Trojan.VBS.Dwnldr.BSZ

IOC:
d5923caed11ad3fee6d0a6faec08c580
ac58dc907d10641ed1afd542b636249e

Torna ad inizio pagina

Ursnif

Campagna di malspam che veicola il Trojan Banker Ursnif tramite l'apertura di un documento Excel in allegato alla mail con oggetto " Notifica emissione nuova fattura DHL MIL0001730486 " del 07 ottobre 2019:

Il documento Excel presente come allegato "MIL0001730486.xls" della mail analizzata contiene una MACRO che sfruttando un codice offuscato che andrà a scaricare il Trojan Banker Ursnif per infettare il computer e poterne carpire i dati.

MIL0001730486.xls
MD5: 52438f028add40e96a58ea3e110429b9
Dimensione: 80384 Bytes
VirIT: X97M.Downloader.HP

Configurazione Ursnif

Gruppo ID: 2051
Versione: 214085
Chiave: 10291029JSJUYUON

08 ottobre 2019

Emotet

Campagna di malspam che veicola il Trojan Banker Emotet tramite l'apertura di un documento Word in allegato alla mail con un esempio di oggetto " Il tuo ordine su Eurotex è stato completato " del 08 ottobre 2019:

Doc_102019_9_4456.doc
MD5: 7a71c3736c6f68071a4b7d9349c9a5cb
Dimensione: 295936 Bytes
VirIT: W97M.Downloader.BTB

tabletpublish.exe
MD5: e6199654a01488abdfdd58877743ca7f
Dimensione: 217600 Bytes
VirIT: Trojan.Win32.Emotet.BTB

IOC:
7a71c3736c6f68071a4b7d9349c9a5cb
e6199654a01488abdfdd58877743ca7fs://halloweendayquotess[.]com/wp-content/5o40y5w7760/

s://pentechplumbing[.]com/wp-content/ovp35378/

s://joangorchs[.]com/5tvk/gy6154/

s://physicaltrainernearme[.]com/yabu/9xnjf4183/

p://yensaogianguyen[.]com/wp-includes/rp802oi00/

Torna ad inizio pagina

Ursnif

Campagna di malspam che veicola il Trojan Banker Ursnif tramite l'apertura di un file zippato che viene scaricato al momento del click sul link presente nella mail. Nel file zippato è presente un file VBS " Nuovo documento 12.vbs "

Nuovo documento 12.vbs
MD5: c211e5bd88921e60a10c2aff06d92a12
Dimensione: 3368646 Bytes
VirIT: Trojan.VBS.Dwnldr.BTB

VideoBoost.exe
MD5: eadc52f7242f232ce611ba9ab6b5d543
Dimensione: 193560 Bytes
VirIT: Trojan.Win32.Ursnif.LG

Configurazione Ursnif

Gruppo ID: 7512
Versione: 300751
Chiave: Htr6bFer4Yc8fbsd

IOC:
c211e5bd88921e60a10c2aff06d92a12
eadc52f7242f232ce611ba9ab6b5d543
p://prodartsfans.]com/rxku?hgpih=37920
212.42.121[.]53
p://customwastereceptacles[.]com/pagkype32.php
s://enrichcollege[.]xyz
45.140.168[.]68

s://suckpussycat[.]com/index.html

s://atomoton[.]xyz

Torna ad inizio pagina

09 ottobre 2019

FTCode

In data 09 ottobre 2019 è stato riscontrata una nuova ondata di attacco del ransomware FTCode scaricato dal Trojan JasperLoader. La versione del ransomware FTCode in questione è la "1008.1" che si connette al sito " http://ceco[.[jasonrsheldon[.]com/ "

Estensioni dei file che possono essere cifrati sono:

"*.sql","*.mp4","*.7z","*.rar","*.m4a","*.wma","*.avi","*.wmv","*.csv","*.d3dbsp",
"*.zip","*.sie","*.sum","*.ibank","*.t13","*.t12","*.qdf","*.gdb","*.tax","*.pkpass",
"*.bc6","*.bc7","*.bkp","*.qic","*.bkf","*.sidn","*.sidd","*.mddata","*.itl","*.itdb",
"*.icxs","*.hvpl","*.hplg","*.hkdb","*.mdbackup","*.syncdb","*.gho","*.cas",
"*.svg","*.map","*.wmo","*.itm","*.sb","*.fos","*.mov","*.vdf","*.ztmp","*.sis",
"*.sid","*.ncf","*.menu","*.layout","*.dmp","*.blob","*.esm","*.vcf","*.vtf",
"*.dazip","*.fpk","*.mlx","*.kf","*.iwd","*.vpk","*.tor","*.psk","*.rim","*.w3x","*.fsh",
"*.ntl","*.arch00","*.lvl","*.snx","*.cfr","*.ff","*.vpp_pc","*.lrf","*.m2","*.mcmeta",
"*.vfs0","*.mpqge","*.kdb","*.db0","*.dba","*.rofl","*.hkx","*.bar","*.upk",
"*.das","*.iwi","*.litemod","*.asset","*.forge","*.ltx","*.bsa","*.apk","*.re4",
"*.sav","*.lbf","*.slm","*.bik","*.epk","*.rgss3a","*.pak","*.big","*wallet",
"*.wotreplay","*.xxx","*.desc","*.py","*.m3u","*.flv","*.js","*.css","*.rb","*.png",
"*.jpeg","*.txt","*.p7c","*.p7b","*.p12","*.pfx","*.pem","*.crt","*.cer","*.der",
"*.x3f","*.srw","*.pef","*.ptx","*.r3d","*.rw2","*.rwl","*.raw","*.raf","*.orf","*.nrw",
"*.mrwref","*.mef","*.erf","*.kdc","*.dcr","*.cr2","*.crw","*.bay","*.sr2","*.srf",
"*.arw","*.3fr","*.dng","*.jpe","*.jpg","*.cdr","*.indd","*.ai","*.eps","*.pdf",
"*.pdd","*.psd","*.dbf","*.mdf","*.wb2","*.rtf","*.wpd","*.dxg","*.xf","*.dwg",
"*.pst","*.accdb","*.mdb","*.pptm","*.pptx","*.ppt","*.xlk","*.xlsb","*.xlsm",
"*.xlsx","*.xls","*.wps","*.docm","*.docx","*.doc","*.odb","*.odc","*.odm",
"*.odp","*.ods","*.odt"

I file che verranno cifrati avranno estensione casuale alfanumerica di 6 caratteri esempio " nomefile.estensione.19346a "

Emotet

Anche in data 09 ottobre 2019 i ricercatori del C.R.A.M. di TG Soft hanno analizzato un'altra campagna di malspam che veicola il Trojan Banker Emotet, qui di seguito un esempio di email contente un documento che se avviato andrà a scaricare il malware:

file_09_102019_1728088.doc
MD5: cce04e853f9ff9bbd0317d0916e947d0
Dimensione: 314368 Bytes
VirIT: W97M.Downloader.BTD

tabletpublish.exe
MD5: 476b81105a59df1f9913256059d20f6d
Dimensione: 626688 Bytes
VirIT: Trojan.Win32.Emotet.BSR

IOC:
cce04e853f9ff9bbd0317d0916e947d0
476b81105a59df1f9913256059d20f6d

s://thinktobehappy[.]com/gtxvys/30201/

s://www.bonvies[.]com/preisinfo/p79846/

s://parishadtoday[.]com/1cm15r/xog62eh983/

s://www.organizersondemand[.]com/cgi-bin/m719694/

p://www.lindasamson[.]com/vjhoqx/n46759/

Torna ad inizio pagina

Ursnif

Campagna che distribuisce il Trojan Banker Ursnif tramite l'invio massimo di email che sembrano far pensare ad una notifica di atto da un presunto avvocato dove è necessario cliccare sul link per scaricarne una copia.

Al momento del click sul link si viene reindirizzati su un sito dove viene visualizzato di salvare un file zippato " Nuovo documento 10.zip " che al suo interno contiene un file VBS con lo stesso nome del file zippato. Se il file VBS viene eseguito andrà a scaricare il payload del malware Ursnif per infettare il PC e carpire i dati di accesso del malcapitato

Nuovo documento 10.vbs
MD5: a2e133e033ba3fe07b83b1e30b55154d
Dimensione: 3546224 Bytes
VirIT: Trojan.VBS.Downloader.BTD

VideoBoost.exe
MD5: ed16fe67d8d29f1873d9e784d428f8fc
Dimensione: 193536 Bytes
VirIT: Trojan.Win32.Ursnif.LH

Configurazione Ursnif

Gruppo ID: 7070
Versione: 214085
Chiave: 10291029JSJUYUON

IOC:
a2e133e033ba3fe07b83b1e30b55154d
ed16fe67d8d29f1873d9e784d428f8fcp://forensicpursuit[.]info

p://finemineraldealers[.]co

p:// proboxingfans[.]com
p://link[.]emilystravel1[.]com
82[.]118.22.43

p://link[.]mesondelprincipe.com

p://link[.]406lawyers.net

p://link[.]miamicoffeebar.com

p://line[.]alicetheguru.com

p://line[].harpbyrequest.com

p://line[.]orangetheorymb.com

p://line[.]rosenstock.net

p://line[.]zepcnc.com

p://atbstroy[.]com

p://stat-football[.]com

p://litum[.]org

p://107gam[.]com

p://10bonusonline24[.]info

Torna ad inizio pagina

10 ottobre 2019

Emotet

Anche giovedì 10 ottobre 2019 i ricercatori del C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware Emotet, qui di seguito viene riportato un campione dell'email:

Doc-10-102019.doc
MD5: 0e7fee4204e5d20422ac1c536bf2ef57
Dimensione: 349184 Bytes
VirIT: W97M.Downloader.BTF

tabletpublish.exe
MD5: 4185953c70b767902dcba590657e5bf2
Dimensione: 705030 Bytes
VirIT: Trojan.Win32.Emotet.BTF

IOC:
0e7fee4204e5d20422ac1c536bf2ef57
4185953c70b767902dcba590657e5bf2

p://yukosalon[.]com/zoom_pagetext/kgd8qq455/

p://movie69hd[.]com/cgi-bin/6riuc16/

p://rankrobotics[.]com/z8y3srjng/8sgaqh484/

s://saigonbowldenver[.]com/wp-includes/xpsxn453696/

p://matrixkw[.]com/framework.fat/s154/

Torna ad inizio pagina

Ursnif

Al momento del click sul link si viene reindirizzati su un sito dove viene visualizzato di salvare un file zippato " Nuovo documento 12.zip " che al suo interno contiene un file VBS con lo stesso nome del file zippato. Se il file VBS viene eseguito andrà a scaricare il payload del malware Ursnif per infettare il PC e carpire i dati di accesso del malcapitato

Nuovo documento 9.vbs
MD5: ccc472813b40a05b72ca83ac4d63cabe
Dimensione: 3779041 Bytes
VirIT: Trojan.VBS.Dwnldr.BTF

VideoBoost.exe
MD5: 95610164415ac4e7f9b5ac89be963830
Dimensione: 189528 Bytes
VirIT: Trojan.Win32.Ursnif.LI

Configurazione Ursnif

Gruppo ID: 7512
Versione: 300751
Chiave: Htr6bFer4Yc8fbsd

IOC:
ccc472813b40a05b72ca83ac4d63cabe
95610164415ac4e7f9b5ac89be963830
p://adigitalteam[.]com
p://theramones[.]com
s://suckpussycat[.]com
p://gaimaps[.]com
p://securityinsite[.]com
p://sprintsalesapi[.]com
p://agcemployeebenefitsolutions[.]com

Torna ad inizio pagina

11 ottobre 2019

Emotet

Anche in data 11 ottobre 2019 i ricercatori del C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware Emotet, qui di seguito viene riportato un campione dell'email:

messaggio-2019.doc
MD5: 5690f468d42ee6339a89c711d7da2b70
Dimensione: 119296 Bytes
VirIT: W97M.Downloader.BSX

tabletpublish.exe
MD5: d03729fa545ad1cff136e574f88cdf1d
Dimensione: 183296 Bytes
VirIT: Trojan.Win32.Emotet.BSX

IOC:
5690f468d42ee6339a89c711d7da2b70
d03729fa545ad1cff136e574f88cdf1d
p://yukosalon[.]com/zoom_pagetext/kgd8qq455/
p://movie69hd[.]com/cgi-bin/6riuc16/
p://rankrobotics[.]com/z8y3srjng/8sgaqh484/
s://saigonbowldenver[.]com/wp-includes/xpsxn453696/
p://matrixkw[.]com/framework.fat/s154/

Torna ad inizio pagina

Ursnif

Torna ad inizio pagina

Consulta le campagne del mese di Settembre/Ottobre

Vi invitiamo a consultare i report del mese di Settembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

30/09/2019 = Report settimanale delle campagne italiane di malspam dal 30 settembre al 04 ottrobre 2019
23/09/2019 = Report settimanale delle campagne italiane di malspam dal 23 al 27 settembre 2019
02/09/2019 = Report settimanale delle campagne italiane di MalSpam dal 31 agosto al 06 settembre 2019

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Selected news item is not available in the requested language.

Italian language proposed.

2019W40 Report settimanale => 05-11/10 2K19 campagne MalSpam target Italia

INDICE

07 ottobre 2019

Emotet

NanoCore

LokiBot

FTCode

Ursnif

08 ottobre 2019

Emotet

Ursnif

09 ottobre 2019

FTCode

Emotet

Ursnif

10 ottobre 2019

Emotet

Ursnif

11 ottobre 2019

Emotet

Ursnif

Consulta le campagne del mese di Settembre/Ottobre

Vir.IT eXplorer PRO is certified by the biggest international organisation:

Necessary 5

Necessary (for use and access to specific areas) 2