Emotet
Lunedì 14 ottobre 2019 il C.R.A.M. di TG Soft ha analizzato varie campagne di malspam, tra cui quella che tramite un documento Word che all'interno contiene un MACRO scarica il Trojan Banker Emotet. Di seguito un esempio di mail analizzata:
Documento.doc
MD5: 078e1e56de75e084ad077d0889878398
Dimensione: 248832 Bytes
VirIT: W97M.Downloader.BTJ
(Payload Emotet)
MD5: f3f48c57c38bff2ddd220f20569e1ee6
Dimensione: 393216 Bytes
VirIT: Trojan.Win32.Emotet.BTJ
IOC:
078e1e56de75e084ad077d0889878398
f3f48c57c38bff2ddd220f20569e1ee6
PWStealer
Sempre in data 14 ottobre 2019 è stata riscontrata un'altra campagna di malspam generica che utilizza un password stealer scritto in MSIL che utilizza la libreria IELibrary per l'esfiltrazione dei dati.
All'interno del file zippato "3502_31007_VM_PR1_AR_190643_PO_840_230819.doc.z" è presente il payload del malware con le seguenti caratteristiche:
3502_31007_VM_PR1_AR_190643_PO_840_230819.exe
MD5: 8ee6ce4a138eaf18806f5bc2dbc816c3
Dimensione: 1100288 Bytes
VirIT: Trojan.Win32.Injector.BTL
IOC:
8ee6ce4a138eaf18806f5bc2dbc816c3
34[.]196.181.158
78[.]142.19.111
Ursnif
Campagna di malspam che veicola il Trojan Banker Ursnif tramite l'apertura di un file zippato che viene scaricato al momento del click sul link presente nella mail. Nel file zippato è presente un file VBS " Nuovo documento 7.vbs "
Nuovo documento 7.vbs
MD5: 48b1e0d1104845c11a294e38d9e25e13
Dimensione: 3842843 Bytest
VirIT: Trojan.VBS.Dwnldr.BTJ
VideoBoost.exe
MD5: 7e72c94b81b431bea7521322eef4cb66
Dimensione: 144440 Bytest
VirIT: Trojan.Win32.Ursnif.LK
Gruppo ID: 7512
Versione: 300751
Chiave: Htr6bFer4Yc8fbsd
|
IOC:
48b1e0d1104845c11a294e38d9e25e13
7e72c94b81b431bea7521322eef4cb66
p://thefuturesgame[.]biz/nmawxpl?hkb=124809
p://yourpremiersmile[.]com/pagkype32.php
s://carringtonit[.]xyz/index.html
212[.]42.121.53
AVE_MARIA
Sempre in data 14 ottobre 2019 è stata riscontrata un'altra campagna di malspam che veicolava il malware AVE_MARIA
Oggetto della mail " Richiesta di offerta - RFQ#20191014 ":
All'interno del file zippato " Elenco di Prodotti_20191014_PD.arj " è presente il payload del malware con le seguenti caratteristiche:
Elenco di Prodotti_20191014_PDF.exe
MD5: fddaeceaf7495f36bda12f81184e5a9e
Dimensione: 252416 Bytes
VirIT: Trojan.Win32.Genus.BTK
images.exe
MD5: fddaeceaf7495f36bda12f81184e5a9e
Dimensione: 252416 Bytes
VirIT: Trojan.Win32.Genus.BTK
IOC:
fddaeceaf7495f36bda12f81184e5a9e
79[.]134.225.6
PasswordStealer
Sempre in data 15 ottobre 2019 altra massiva campagna di malspam che veicola il malware PasswordStealer, qui di seguito uno degli esempi di email analizzata:
ThumbCache6llx-6bp.exe
MD5: f1ce0a8d0183e7e49fb8bfe32aae6779
Dimensione: 251392 Bytes
VirIT:
Trojan.Win32.PSWStealer.BTM
IOC:
f1ce0a8d0183e7e49fb8bfe32aae6779
NanoCore
Sempre in data 15 ottobre 2019 è stata riscontrata un'altra campagna di malspam che veicolava il malware NanoCore
All'interno del file zippato " Fattura_2019_10_15,pdf.zip " è presente il payload del malware con le seguenti caratteristiche:
Fattura_2019_10_15,pdf.exe
MD5: d0d3d64da44ce8d2735a16b25555b37c
Dimensione: 539648 Bytes
VirIT: Trojan.Win32.Genus.BTM
HabbDnQxKYJdc.exe
MD5: d0d3d64da44ce8d2735a16b25555b37c
Dimensione: 539648 Bytes
VirIT: Trojan.Win32.Genus.BTM
IOC:
d0d3d64da44ce8d2735a16b25555b37c
79[.]134.225.123
Emotet
Anche in data 15 ottobre 2019 i ricercatori del C.R.A.M. di TG Soft hanno analizzato un'altra campagna di malspam che veicola il Trojan Banker Emotet, qui di seguito un esempio di email contente un documento che se avviato andrà a scaricare il malware:
024531288015620193.doc
MD5: fd19014b12400220d0ff8fccee04f41e
Dimensione: 215040 Bytes
VirIT: W97M.Downloader.MH
RESAPILOADA.EXE
MD5: ee89654f380297b24a5357f04517ce04
Dimensione: 745472 Bytes
VirIT: Trojan.Win32.Emotet.UB
IOC:
fd19014b12400220d0ff8fccee04f41e
ee89654f380297b24a5357f04517ce04
Ursnif
Anche in data 16 ottobre 2019 i ricercatori del
C.R.A.M. di
TG Soft hanno analizzato un'altra campagna di
malspam che veicola il Trojan Banker Ursnif tramite l'apertura di un documento Excel.
DHL_Fattura_cash_414703.xls
MD5: ec8fb2062a8b56be5e0a290ccdfbb53d
Dimensione: 64000 Bytes
VirIT:
X97M.Downloader.BTN
IOC:
ec8fb2062a8b56be5e0a290ccdfbb53d
Un'altra campagna di Trojan Banker Ursnif che distribuisce tramite l'invio massimo di email che sembrano far pensare ad una notifica di atto da un presunto avvocato dove è necessario cliccare sul link per scaricarne una copia.
Al momento del click sul link si viene reindirizzati su un sito dove viene visualizzato di salvare un file zippato " Nuovo documento 7.zip " che al suo interno contiene un file VBS con lo stesso nome del file zippato. Se il file VBS viene eseguito andrà a scaricare il payload del malware Ursnif per infettare il PC e carpire i dati di accesso del malcapitato.
Nuovo documento 7.vbs
MD5: c8fa8eb75d65dbe5cad4eb3b6e1f8f53
Dimensione: 3610921 Bytes
VirIT: Trojan.VBS.Dwnldr.BTN
IOC:
c8fa8eb75d65dbe5cad4eb3b6e1f8f53
p://obrbands.com/cszxtql?tzcqf=4660
p://teamltc.com/pagkype32.php
Torna ad inizio pagina
PasswordStealer
Sempre in data 16 ottobre 2019 altra massiva campagna di malspam che veicola il malware PasswordStealer, qui di seguito uno degli esempi di email analizzata:
Fattura_Vodafone_20190.exe
MD5: 518fa9c6fb851852dc7106bff484c28f
Dimensione: 1107456 Bytes
VirIT: Trojan.Win32.PSWStealer.BTL
IOC:
518fa9c6fb851852dc7106bff484c28f
FTCode
Una campagna massiva di malspam tramite account PEC analizzata dal C.R.A.M. di TG Soft che distribuisce il ransomware FTCode.
Oggetto della mail " Fattura 2019 295845175 ":
All'interno del file zippato è presente un documento Word che tramite una MACRO andrà a scaricare nel PC della vittima il ransomware per la cifratura dei file presenti nel PC stesso con estensione " .FTCode ", chiedendo poi un riscatto in denaro per poterli riavere.
Nuovo_documento_82.doc
MD5: 0fcdb1a7b3ed823616fac94c487ad5b9
Dimensione: 3145729 Bytes
VirIT:
W97M.Downloader.BTJ
IOC:
0fcdb1a7b3ed823616fac94c487ad5b9
In figura sottostante istruzioni del riscatto del ransmoware FTCode.
Emotet
Anche in data 16 ottobre 2019 i ricercatori del C.R.A.M. di TG Soft hanno analizzato un'altra campagna di malspam che veicola il Trojan Banker Emotet, qui di seguito un esempio di email contente un documento che se avviato andrà a scaricare il malware:
296 2019.doc
MD5: 57ab2a38aa99651995463208b0a37add
Dimensione: 253952 Bytes
VirIT: W97M.Downloader.BTM
spoolerbuilder.exe
MD5: 0a4a82ddbbeec5945763889511e8c0d4
Dimensione: 430952 Bytes
VirIT: Trojan.Win32.Emotet.BTS
IOC:
57ab2a38aa99651995463208b0a37add
0a4a82ddbbeec5945763889511e8c0d
Torna ad inizio pagina
Ursnif
Anche giovedì 17 ottobre 2019 i ricercatori del
C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware
Trojan Banker Ursnif tramite l'apertura di un documento Word.
info_10_17.doc
MD5: d1c06e98fb6eca436ce465cf39c7ca0a
Dimensione: 79424 Bytes
VirIT:
W97M.Downloader.MI
(Payload Ursnif)
MD5: 975f28b046b18dd72904bc7da5739a08
Dimensione: 3714560 Bytes
VirIT:
Trojan.Win32.Ursnif.LL
Gruppo ID: 3486
Versione: 214085
Chiave: 10291029JSJUYNHG |
IOC:
d1c06e98fb6eca436ce465cf39c7ca0a
975f28b046b18dd72904bc7da5739a08
s://ryktzzula[.]com/
line[.]harpbyrequest[.]com
Emotet
Giovedì 17 ottobre 2019 il C.R.A.M. di TG Soft ha analizzato varie campagne di malspam, tra cui quella che tramite un documento Word che all'interno contiene un MACRO scarica il Trojan Banker Emotet
Di seguito un esempio di email analizzata:
DOCUMENTO_2019_3_1722.doc
MD5: f006ffab3cc5416993f78c597cc1316f
Dimensione: 172784 Bytes
VirIT:
W97M.Downloader.BTN
IOC:
f006ffab3cc5416993f78c597cc1316f
156[.]170.191.63
28[.]145.131.186
24[.]36.121.170
249[.]154.100.151
32[.]213.231.77
48[.]134.97.232
Emotet
Anche in data 18 ottobre 2019 i ricercatori del
C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware
Emotet, qui di seguito viene riportato un campione dell'email:
SCAN 20191018 72275.doc
MD5: 4afe76771c93525bcf17cef68013db27
Dimensione: 191979 Bytes
VirIT:
W97M.Downloader.BTR
tabletpublish.exe
MD5: d03729fa545ad1cff136e574f88cdf1d
Dimensione: 183296 Bytes
VirIT:
Trojan.Win32.Emotet.BSX
IOC:
5690f468d42ee6339a89c711d7da2b70
d03729fa545ad1cff136e574f88cdf1d
p://yukosalon[.]com/zoom_pagetext/kgd8qq455/
p://movie69hd[.]com/cgi-bin/6riuc16/
p://rankrobotics[.]com/z8y3srjng/8sgaqh484/
s://saigonbowldenver[.]com/wp-includes/xpsxn453696/
p://matrixkw[.]com/framework.fat/s154/
Consulta le campagne del mese di Settembre/Ottobre
Vi invitiamo a consultare i report del mese di Settembre/Ottobre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
07/10/2019 =
Report settimanale delle campagne italiane di malspam dal 7 ottobre al 11 ottrobre 2019
30/09/2019 =
Report settimanale delle campagne italiane di malspam dal 30 settembre al 04 ottrobre 2019
02/09/2019 =
Report settimanale delle campagne italiane di MalSpam dal 31 agosto al 06 settembre 2019
C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft