Selected news item is not available in the requested language.

Italian language proposed.

Close

14/10/2019
12:11

2019W41 Report settimanale => 12-18/10 2K19 campagne MalSpam target Italia

Analisi a cura del C.R.A.M. di TG Soft => Emotet - PWStealer - FTCode - UrSnif - AVE_MARIA
      
week40

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 14 ottobre 2019 al 20 ottobre 2019: Ursnif, Emotet, NanoCore, FTCode, AVE_MARIA

INDICE

  ==> 14 Ottobre 2019 => Emotet - PWStealer - Ursnif  - AVE_MARIA
 
  ==> 15 Ottobre 2019 => PWStealer - NanoCore - Emotet

  ==> 16 Ottobre 2019 => Ursnif - FTCode - PWStealer - Emotet

  ==> 17 Ottobre 2019 => Ursnif -  Emotet

  ==> 18 Ottobre 2019 => Emotet

  ==> Consulta le campagne del mese di Settembre


14 ottobre 2019

Emotet

Lunedì 14 ottobre 2019 il C.R.A.M. di TG Soft ha analizzato varie campagne di malspam, tra cui quella che tramite un documento Word che all'interno contiene un MACRO scarica il Trojan Banker Emotet. Di seguito un esempio di mail analizzata: 

 

Documento.doc
MD5: 078e1e56de75e084ad077d0889878398
Dimensione: 248832 Bytes
VirITW97M.Downloader.BTJ

(Payload Emotet)
MD5: f3f48c57c38bff2ddd220f20569e1ee6
Dimensione: 393216 Bytes
VirIT: Trojan.Win32.Emotet.BTJ

IOC:
078e1e56de75e084ad077d0889878398
f3f48c57c38bff2ddd220f20569e1ee6

Torna ad inizio pagina
 

PWStealer

Sempre in data 14 ottobre 2019 è stata riscontrata un'altra campagna di malspam generica che utilizza un password stealer scritto in MSIL che utilizza la libreria IELibrary per l'esfiltrazione dei dati.

All'interno del file zippato "3502_31007_VM_PR1_AR_190643_PO_840_230819.doc.z" è presente il payload del malware con le seguenti caratteristiche:

3502_31007_VM_PR1_AR_190643_PO_840_230819.exe
MD5: 8ee6ce4a138eaf18806f5bc2dbc816c3
Dimensione: 1100288 Bytes
VirITTrojan.Win32.Injector.BTL

IOC:
8ee6ce4a138eaf18806f5bc2dbc816c3
34[.]196.181.158
78[.]142.19.111

Torna ad inizio pagina

Ursnif

Campagna di malspam che veicola il Trojan Banker Ursnif tramite l'apertura di un file zippato che viene scaricato al momento del click sul link presente nella mail. Nel file zippato è presente un file VBS " Nuovo documento 7.vbs "


Nuovo documento 7.vbs

MD5: 48b1e0d1104845c11a294e38d9e25e13
Dimensione: 3842843 Bytest
VirITTrojan.VBS.Dwnldr.BTJ

VideoBoost.exe

MD5: 7e72c94b81b431bea7521322eef4cb66
Dimensione: 144440 Bytest
VirITTrojan.Win32.Ursnif.LK

 

Configurazione Ursnif

Gruppo ID: 7512
Versione: 300751
Chiave: Htr6bFer4Yc8fbsd



IOC:
48b1e0d1104845c11a294e38d9e25e13
7e72c94b81b431bea7521322eef4cb66

p://thefuturesgame[.]biz/nmawxpl?hkb=124809
p://yourpremiersmile[.]com/pagkype32.php
s://carringtonit[.]xyz/index.html
212[.]42.121.53

 
Torna ad inizio pagina

AVE_MARIA

Sempre in data 14 ottobre 2019 è stata riscontrata un'altra campagna di malspam che veicolava il malware AVE_MARIA
Oggetto della mail " Richiesta di offerta - RFQ#20191014 ":

 

All'interno del file zippato " Elenco di Prodotti_20191014_PD.arj " è presente il payload del malware con le seguenti caratteristiche:


Elenco di Prodotti_20191014_PDF.exe
MD5: fddaeceaf7495f36bda12f81184e5a9e
Dimensione: 252416 Bytes
VirITTrojan.Win32.Genus.BTK

images.exe
MD5: fddaeceaf7495f36bda12f81184e5a9e
Dimensione: 252416 Bytes
VirITTrojan.Win32.Genus.BTK

IOC:
fddaeceaf7495f36bda12f81184e5a9e

79[.]134.225.6

 

Torna ad inizio pagina

15 ottobre 2019

PasswordStealer

Sempre in data 15 ottobre 2019 altra massiva campagna di malspam che veicola il malware PasswordStealer, qui di seguito uno degli esempi di email analizzata:
 

ThumbCache6llx-6bp.exe
MD5: f1ce0a8d0183e7e49fb8bfe32aae6779
Dimensione: 251392 Bytes
VirIT: Trojan.Win32.PSWStealer.BTM


IOC:
f1ce0a8d0183e7e49fb8bfe32aae6779
Torna ad inizio pagina

NanoCore

Sempre in data 15 ottobre 2019 è stata riscontrata un'altra campagna di malspam che veicolava il malware NanoCore


All'interno del file zippato " Fattura_2019_10_15,pdf.zip " è presente il payload del malware con le seguenti caratteristiche:

Fattura_2019_10_15,pdf.exe
MD5d0d3d64da44ce8d2735a16b25555b37c
Dimensione: 539648 Bytes
VirITTrojan.Win32.Genus.BTM

HabbDnQxKYJdc.exe
MD5d0d3d64da44ce8d2735a16b25555b37c
Dimensione539648 Bytes
VirITTrojan.Win32.Genus.BTM

IOC:
d0d3d64da44ce8d2735a16b25555b37c
79[.]134.225.123

Torna ad inizio pagina

 

Emotet

Anche in data 15 ottobre 2019 i ricercatori del C.R.A.M. di TG Soft hanno analizzato un'altra campagna di malspam che veicola il Trojan Banker Emotet, qui di seguito un esempio di email contente un documento che se avviato andrà a scaricare il malware:



024531288015620193.doc
MD5: fd19014b12400220d0ff8fccee04f41e
Dimensione: 215040 Bytes
VirITW97M.Downloader.MH

RESAPILOADA.EXE
MD5: ee89654f380297b24a5357f04517ce04
Dimensione: 745472 Bytes
VirITTrojan.Win32.Emotet.UB

IOC:
fd19014b12400220d0ff8fccee04f41e
ee89654f380297b24a5357f04517ce04


Torna ad inizio pagina

16 ottobre 2019

Ursnif

Anche in data 16 ottobre 2019 i ricercatori del C.R.A.M. di TG Soft hanno analizzato un'altra campagna di malspam che veicola il Trojan Banker Ursnif tramite l'apertura di un documento Excel.




DHL_Fattura_cash_414703.xls
MD5: ec8fb2062a8b56be5e0a290ccdfbb53d
Dimensione: 64000 Bytes
VirIT: X97M.Downloader.BTN


IOC:
ec8fb2062a8b56be5e0a290ccdfbb53d

 

Un'altra campagna di Trojan Banker Ursnif che distribuisce tramite l'invio massimo di email che sembrano far pensare ad una notifica di atto da un presunto avvocato dove è necessario cliccare sul link per scaricarne una copia.

 

Al momento del click sul link si viene reindirizzati su un sito dove viene visualizzato di salvare un file zippato " Nuovo documento 7.zip " che al suo interno contiene un file VBS con lo stesso nome del file zippato. Se il file VBS viene eseguito andrà a scaricare il payload del malware Ursnif per infettare il PC e carpire i dati di accesso del malcapitato.

Nuovo documento 7.vbs

MD5: c8fa8eb75d65dbe5cad4eb3b6e1f8f53
Dimensione: 3610921 Bytes
VirITTrojan.VBS.Dwnldr.BTN

IOC:
c8fa8eb75d65dbe5cad4eb3b6e1f8f53
p://obrbands.com/cszxtql?tzcqf=4660
p://teamltc.com/pagkype32.php


Torna ad inizio pagina

PasswordStealer

Sempre in data 16 ottobre 2019 altra massiva campagna di malspam che veicola il malware PasswordStealer, qui di seguito uno degli esempi di email analizzata:
  


Fattura_Vodafone_20190.exe
 MD5518fa9c6fb851852dc7106bff484c28f
Dimensione: 1107456 Bytes
VirITTrojan.Win32.PSWStealer.BTL


IOC:
518fa9c6fb851852dc7106bff484c28f


FTCode

Una campagna massiva di malspam tramite account PEC analizzata dal C.R.A.M. di TG Soft che distribuisce il ransomware FTCode.
Oggetto della mail " Fattura 2019 295845175 ":
 

All'interno del file zippato è presente un documento Word che tramite una MACRO andrà a scaricare nel PC della vittima il ransomware per la cifratura dei file presenti nel PC stesso con estensione " .FTCode ", chiedendo poi un riscatto in denaro per poterli riavere.
Nuovo_documento_82.doc
MD5: 0fcdb1a7b3ed823616fac94c487ad5b9
Dimensione: 3145729 Bytes
VirITW97M.Downloader.BTJ

IOC:
0fcdb1a7b3ed823616fac94c487ad5b9

In figura sottostante istruzioni del riscatto del ransmoware FTCode.

Emotet

Anche in data 16 ottobre 2019 i ricercatori del C.R.A.M. di TG Soft hanno analizzato un'altra campagna di malspam che veicola il Trojan Banker Emotet, qui di seguito un esempio di email contente un documento che se avviato andrà a scaricare il malware:



296 2019.doc
MD557ab2a38aa99651995463208b0a37add
Dimensione: 253952 Bytes
VirITW97M.Downloader.BTM

spoolerbuilder.exe
MD50a4a82ddbbeec5945763889511e8c0d4
Dimensione: 430952 Bytes
VirITTrojan.Win32.Emotet.BTS

IOC:
57ab2a38aa99651995463208b0a37add
0a4a82ddbbeec5945763889511e8c0d
 

Torna ad inizio pagina

17 ottobre 2019

Ursnif

Anche giovedì 17 ottobre 2019 i ricercatori del C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware Trojan Banker Ursnif tramite l'apertura di un documento Word.
info_10_17.doc
MD5: d1c06e98fb6eca436ce465cf39c7ca0a
Dimensione: 79424 Bytes
VirIT: W97M.Downloader.MI

(Payload Ursnif)
MD5: 975f28b046b18dd72904bc7da5739a08
Dimensione: 3714560 Bytes
VirIT: Trojan.Win32.Ursnif.LL

Configurazione Ursnif
Gruppo ID: 3486
Versione: 214085
Chiave: 10291029JSJUYNHG

IOC:
d1c06e98fb6eca436ce465cf39c7ca0a
975f28b046b18dd72904bc7da5739a08
s://ryktzzula[.]com/
line[.]harpbyrequest[.]com

Torna ad inizio pagina


Emotet

Giovedì 17 ottobre 2019 il C.R.A.M. di TG Soft ha analizzato varie campagne di malspam, tra cui quella che tramite un documento Word che all'interno contiene un MACRO scarica il Trojan Banker Emotet
Di seguito un esempio di email analizzata:



DOCUMENTO_2019_3_1722.doc
MD5: f006ffab3cc5416993f78c597cc1316f
Dimensione: 172784 Bytes
VirIT: W97M.Downloader.BTN



IOC:
f006ffab3cc5416993f78c597cc1316f
156[.]170.191.63
28[.]145.131.186
24[.]36.121.170
249[.]154.100.151
32[.]213.231.77
48[.]134.97.232



Torna ad inizio pagina

18 ottobre 2019

Emotet

Anche in data 18 ottobre 2019 i ricercatori del C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware Emotet, qui di seguito viene riportato un campione dell'email:



SCAN 20191018 72275.doc
MD5: 4afe76771c93525bcf17cef68013db27
Dimensione: 191979 Bytes
VirIT: W97M.Downloader.BTR

tabletpublish.exe
MD5: d03729fa545ad1cff136e574f88cdf1d
Dimensione: 183296 Bytes
VirIT: Trojan.Win32.Emotet.BSX

IOC:
5690f468d42ee6339a89c711d7da2b70
d03729fa545ad1cff136e574f88cdf1d
p://yukosalon[.]com/zoom_pagetext/kgd8qq455/
p://movie69hd[.]com/cgi-bin/6riuc16/
p://rankrobotics[.]com/z8y3srjng/8sgaqh484/
s://saigonbowldenver[.]com/wp-includes/xpsxn453696/
p://matrixkw[.]com/framework.fat/s154/
Torna ad inizio pagina

 

Consulta le campagne del mese di Settembre/Ottobre

Vi invitiamo a consultare i report del mese di Settembre/Ottobre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

07/10/2019 = Report settimanale delle campagne italiane di malspam dal 7 ottobre al 11 ottrobre 2019
30/09/2019 = Report settimanale delle campagne italiane di malspam dal 30 settembre al 04 ottrobre 2019
02/09/2019 = Report settimanale delle campagne italiane di MalSpam dal 31 agosto al 06 settembre 2019

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: