TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

14/10/2019 12:11:52 - Report settimanale 12/10/2019 al 18/10/2019 campagne MalSpam target Italia

      
week40

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 14 ottobre 2019 al 20 ottobre 2019: Ursnif, Emotet, NanoCore, FTCode, AVE_MARIA

INDICE

  ==> 14 Ottobre 2019 => Emotet - PWStealer - Ursnif  - AVE_MARIA
 
  ==>
15 Ottobre 2019 => PWStealer - NanoCore - Emotet

  ==> 
16 Ottobre 2019 => Ursnif - FTCode - PWStealer - Emotet

  ==> 
17 Ottobre 2019 => Ursnif -  Emotet

 
==> 18 Ottobre 2019 => Emotet

  ==>
Consulta le campagne del mese di Settembre


14 ottobre 2019

Emotet

Lunedì 14 ottobre 2019 il C.R.A.M. di TG Soft ha analizzato varie campagne di malspam, tra cui quella che tramite un documento Word che all'interno contiene un MACRO scarica il Trojan Banker Emotet. Di seguito un esempio di mail analizzata: 

 

Documento.doc
MD5: 078e1e56de75e084ad077d0889878398
Dimensione: 248832 Bytes
VirITW97M.Downloader.BTJ

(Payload Emotet)
MD5: f3f48c57c38bff2ddd220f20569e1ee6
Dimensione: 393216 Bytes
VirIT: Trojan.Win32.Emotet.BTJ

IOC:
078e1e56de75e084ad077d0889878398
f3f48c57c38bff2ddd220f20569e1ee6

 

PWStealer

Sempre in data 14 ottobre 2019 è stata riscontrata un'altra campagna di malspam generica che utilizza un password stealer scritto in MSIL che utilizza la libreria IELibrary per l'esfiltrazione dei dati.

All'interno del file zippato "3502_31007_VM_PR1_AR_190643_PO_840_230819.doc.z" è presente il payload del malware con le seguenti caratteristiche:

3502_31007_VM_PR1_AR_190643_PO_840_230819.exe
MD5: 8ee6ce4a138eaf18806f5bc2dbc816c3
Dimensione: 1100288 Bytes
VirITTrojan.Win32.Injector.BTL

IOC:
8ee6ce4a138eaf18806f5bc2dbc816c3
34[.]196.181.158
78[.]142.19.111

Ursnif

Campagna di malspam che veicola il Trojan Banker Ursnif tramite l'apertura di un file zippato che viene scaricato al momento del click sul link presente nella mail. Nel file zippato è presente un file VBS " Nuovo documento 7.vbs "


Nuovo documento 7.vbs

MD5: 48b1e0d1104845c11a294e38d9e25e13
Dimensione: 3842843 Bytest
VirITTrojan.VBS.Dwnldr.BTJ

VideoBoost.exe

MD5: 7e72c94b81b431bea7521322eef4cb66
Dimensione: 144440 Bytest
VirITTrojan.Win32.Ursnif.LK

 

Configurazione Ursnif

Gruppo ID: 7512
Versione: 300751
Chiave: Htr6bFer4Yc8fbsd



IOC:
48b1e0d1104845c11a294e38d9e25e13
7e72c94b81b431bea7521322eef4cb66

p://thefuturesgame[.]biz/nmawxpl?hkb=124809
p://yourpremiersmile[.]com/pagkype32.php
s://carringtonit[.]xyz/index.html
212[.]42.121.53

 

AVE_MARIA

Sempre in data 14 ottobre 2019 è stata riscontrata un'altra campagna di malspam che veicolava il malware AVE_MARIA
Oggetto della mail " Richiesta di offerta - RFQ#20191014 ":

 

All'interno del file zippato " Elenco di Prodotti_20191014_PD.arj " è presente il payload del malware con le seguenti caratteristiche:


Elenco di Prodotti_20191014_PDF.exe
MD5: fddaeceaf7495f36bda12f81184e5a9e
Dimensione: 252416 Bytes
VirITTrojan.Win32.Genus.BTK

images.exe
MD5: fddaeceaf7495f36bda12f81184e5a9e
Dimensione: 252416 Bytes
VirITTrojan.Win32.Genus.BTK

IOC:
fddaeceaf7495f36bda12f81184e5a9e

79[.]134.225.6

 

Torna ad inizio pagina

15 ottobre 2019

PasswordStealer

Sempre in data 15 ottobre 2019 altra massiva campagna di malspam che veicola il malware PasswordStealer, qui di seguito uno degli esempi di email analizzata:
 

ThumbCache6llx-6bp.exe
MD5: f1ce0a8d0183e7e49fb8bfe32aae6779
Dimensione: 251392 Bytes
VirIT: Trojan.Win32.PSWStealer.BTM


IOC:
f1ce0a8d0183e7e49fb8bfe32aae6779
Torna ad inizio pagina

NanoCore

Sempre in data 15 ottobre 2019 è stata riscontrata un'altra campagna di malspam che veicolava il malware NanoCore


All'interno del file zippato " Fattura_2019_10_15,pdf.zip " è presente il payload del malware con le seguenti caratteristiche:

Fattura_2019_10_15,pdf.exe
MD5d0d3d64da44ce8d2735a16b25555b37c
Dimensione: 539648 Bytes
VirITTrojan.Win32.Genus.BTM

HabbDnQxKYJdc.exe
MD5d0d3d64da44ce8d2735a16b25555b37c
Dimensione539648 Bytes
VirITTrojan.Win32.Genus.BTM

IOC:
d0d3d64da44ce8d2735a16b25555b37c
79[.]134.225.123

Torna ad inizio pagina

 

Emotet

Anche in data 15 ottobre 2019 i ricercatori del C.R.A.M. di TG Soft hanno analizzato un'altra campagna di malspam che veicola il Trojan Banker Emotet, qui di seguito un esempio di email contente un documento che se avviato andrà a scaricare il malware:



024531288015620193.doc
MD5: fd19014b12400220d0ff8fccee04f41e
Dimensione: 215040 Bytes
VirITW97M.Downloader.MH

RESAPILOADA.EXE
MD5: ee89654f380297b24a5357f04517ce04
Dimensione: 745472 Bytes
VirITTrojan.Win32.Emotet.UB

IOC:
fd19014b12400220d0ff8fccee04f41e
ee89654f380297b24a5357f04517ce04


Torna ad inizio pagina

16 ottobre 2019

Ursnif

Anche in data 16 ottobre 2019 i ricercatori del C.R.A.M. di TG Soft hanno analizzato un'altra campagna di malspam che veicola il Trojan Banker Ursnif tramite l'apertura di un documento Excel.




DHL_Fattura_cash_414703.xls
MD5: ec8fb2062a8b56be5e0a290ccdfbb53d
Dimensione: 64000 Bytes
VirIT: X97M.Downloader.BTN


IOC:
ec8fb2062a8b56be5e0a290ccdfbb53d

 

Un'altra campagna di Trojan Banker Ursnif che distribuisce tramite l'invio massimo di email che sembrano far pensare ad una notifica di atto da un presunto avvocato dove è necessario cliccare sul link per scaricarne una copia.

 

Al momento del click sul link si viene reindirizzati su un sito dove viene visualizzato di salvare un file zippato " Nuovo documento 7.zip " che al suo interno contiene un file VBS con lo stesso nome del file zippato. Se il file VBS viene eseguito andrà a scaricare il payload del malware Ursnif per infettare il PC e carpire i dati di accesso del malcapitato.

Nuovo documento 7.vbs

MD5: c8fa8eb75d65dbe5cad4eb3b6e1f8f53
Dimensione: 3610921 Bytes
VirITTrojan.VBS.Dwnldr.BTN

IOC:
c8fa8eb75d65dbe5cad4eb3b6e1f8f53
p://obrbands.com/cszxtql?tzcqf=4660
p://teamltc.com/pagkype32.php


Torna ad inizio pagina

PasswordStealer

Sempre in data 16 ottobre 2019 altra massiva campagna di malspam che veicola il malware PasswordStealer, qui di seguito uno degli esempi di email analizzata:
  


Fattura_Vodafone_20190.exe
MD5518fa9c6fb851852dc7106bff484c28f
Dimensione: 1107456 Bytes
VirITTrojan.Win32.PSWStealer.BTL


IOC:
518fa9c6fb851852dc7106bff484c28f


FTCode

Una campagna massiva di malspam tramite account PEC analizzata dal C.R.A.M. di TG Soft che distribuisce il ransomware FTCode.
Oggetto della mail " Fattura 2019 295845175 ":
 

All'interno del file zippato è presente un documento Word che tramite una MACRO andrà a scaricare nel PC della vittima il ransomware per la cifratura dei file presenti nel PC stesso con estensione " .FTCode ", chiedendo poi un riscatto in denaro per poterli riavere.

Nuovo_documento_82.doc
MD5: 0fcdb1a7b3ed823616fac94c487ad5b9
Dimensione: 3145729 Bytes
VirITW97M.Downloader.BTJ

IOC:
0fcdb1a7b3ed823616fac94c487ad5b9

In figura sottostante istruzioni del riscatto del ransmoware FTCode.


Emotet

Anche in data 16 ottobre 2019 i ricercatori del C.R.A.M. di TG Soft hanno analizzato un'altra campagna di malspam che veicola il Trojan Banker Emotet, qui di seguito un esempio di email contente un documento che se avviato andrà a scaricare il malware:



296 2019.doc
MD557ab2a38aa99651995463208b0a37add
Dimensione: 253952 Bytes
VirITW97M.Downloader.BTM

spoolerbuilder.exe
MD50a4a82ddbbeec5945763889511e8c0d4
Dimensione: 430952 Bytes
VirITTrojan.Win32.Emotet.BTS

IOC:
57ab2a38aa99651995463208b0a37add
0a4a82ddbbeec5945763889511e8c0d
 

Torna ad inizio pagina

17 ottobre 2019

Ursnif

Anche giovedì 17 ottobre 2019 i ricercatori del C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware Trojan Banker Ursnif tramite l'apertura di un documento Word.

info_10_17.doc
MD5: d1c06e98fb6eca436ce465cf39c7ca0a
Dimensione: 79424 Bytes
VirIT: W97M.Downloader.MI

(Payload Ursnif)
MD5: 975f28b046b18dd72904bc7da5739a08
Dimensione: 3714560 Bytes
VirIT: Trojan.Win32.Ursnif.LL

Configurazione Ursnif
Gruppo ID: 3486
Versione: 214085
Chiave: 10291029JSJUYNHG

IOC:
d1c06e98fb6eca436ce465cf39c7ca0a
975f28b046b18dd72904bc7da5739a08
s://ryktzzula[.]com/
line[.]harpbyrequest[.]com

Emotet

Giovedì 17 ottobre 2019 il C.R.A.M. di TG Soft ha analizzato varie campagne di malspam, tra cui quella che tramite un documento Word che all'interno contiene un MACRO scarica il Trojan Banker Emotet
Di seguito un esempio di email analizzata:



DOCUMENTO_2019_3_1722.doc
MD5: f006ffab3cc5416993f78c597cc1316f
Dimensione: 172784 Bytes
VirIT: W97M.Downloader.BTN



IOC:
f006ffab3cc5416993f78c597cc1316f
156[.]170.191.63
28[.]145.131.186
24[.]36.121.170
249[.]154.100.151
32[.]213.231.77
48[.]134.97.232



Torna ad inizio pagina

18 ottobre 2019

Emotet

Anche in data 18 ottobre 2019 i ricercatori del C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware Emotet, qui di seguito viene riportato un campione dell'email:



SCAN 20191018 72275.doc
MD5: 4afe76771c93525bcf17cef68013db27
Dimensione: 191979 Bytes
VirIT: W97M.Downloader.BTR

tabletpublish.exe
MD5: d03729fa545ad1cff136e574f88cdf1d
Dimensione: 183296 Bytes
VirIT: Trojan.Win32.Emotet.BSX

IOC:
5690f468d42ee6339a89c711d7da2b70
d03729fa545ad1cff136e574f88cdf1d
p://yukosalon[.]com/zoom_pagetext/kgd8qq455/
p://movie69hd[.]com/cgi-bin/6riuc16/
p://rankrobotics[.]com/z8y3srjng/8sgaqh484/
s://saigonbowldenver[.]com/wp-includes/xpsxn453696/
p://matrixkw[.]com/framework.fat/s154/


Torna ad inizio pagina

 

Consulta le campagne del mese di Settembre/Ottobre

Vi invitiamo a consultare i report del mese di Settembre/Ottobre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

07/10/2019 = Report settimanale delle campagne italiane di malspam dal 7 ottobre al 11 ottrobre 2019
30/09/2019 = Report settimanale delle campagne italiane di malspam dal 30 settembre al 04 ottrobre 2019
02/09/2019 = Report settimanale delle campagne italiane di MalSpam dal 31 agosto al 06 settembre 2019

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft


Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283