TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Labs

Vir.IT eXplorer PRO supera il test internazionale VB100 2020-06

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

13/01/2020 08:51:26 - 2020W02 Report settimanale= > 11-17/01 2K20 campagne MalSpam target Italia

       
week42

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 11 gennaio 2020 al 17 gennaio 2020: Emotet, TrickBot, SLoad, HawkEye, LokiBot, Ursnif

INDICE

 ==> 13 gennaio 2020 => PWStealer - HawkEye - LokiBot - SLoad - TrickBot
 
 ==> 
14 gennaio 2020 => Emotet - PWStealer - LokiBot

 ==> 
15 gennaio 2020 => Emotet - PWStealer - RAT

 ==> 
16 gennaio 2020 => Emotet - LokiBot - Ursnif

 ==> 17 gennaio 2020 => Emotet - W97M.Downloader
 

 
==> Consulta le campagne del mese di Dicembre


13 gennaio 2020

PWStealer

 

Il malware sfrutta un software sviluppato da NirSoft chiamata "Mail PassView" per esfiltrare le password dai browser.

139 _BIFU _20_ordine_18001000300.exe
MD57755e58f053e95084e7fa2155c2458fa
Dimensione: 2170368 Bytes
VirITTrojan.Win32.Genus.BXX
 
IOC:
7755e58f053e95084e7fa2155c2458fa


Torna ad inizio pagina

HawkEye

Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

DHL - AWB.exe

MD50c4aad5498ec20cfbe2e80df748c70e2
Dimensione: 942080 Bytes
VirITTrojan.Win32.PSWStealer.BXX

IOC:
0c4aad5498ec20cfbe2e80df748c70e2


Torna ad inizio pagina

LokiBot


richiesta urgente di preventivo.exe
MD5: f85f0ab7aece4d94951b6c3942024984
Dimensione: 40960 Bytes
VirIT: Trojan.Win32.LokiBot.BXX

IOC:
f85f0ab7aece4d94951b6c3942024984

p://alphastand[.]trade/alien/fre.php
p://ifunanya[.]cf 
p://ckav[.]ru


Torna ad inizio pagina

SLoad


sollecito-avviso-AI73128826370.vbs
MD5: 2fdc122e26388f5b76466b0d6df5869d
Dimensione: 8003 Bytes
VirIT: Trojan.VBS.SLoad.BXX

gONCdlpa.jpg
MD5: 90a69b23efb0a54393bf31120f5217fa
Dimensione: 187534 Bytes
VirITTrojan.PS.Sload.BXX

IOC
:
2fdc122e26388f5b76466b0d6df5869d
90a69b23efb0a54393bf31120f5217fa

s://fbabob[.]com/doprena/AI73128826370.gif

 

Torna ad inizio pagina 

TrickBot


fatturare_1052637.doc
MD5: 338883c959bcacf620cc089134149efb
Dimensione: 96475 Bytes
VirITW97M.TrickBot.BXY

0.7055475.jse
MD5: b997946a57ece6709efcb299bfffbe8e
Dimensione: 38638 Bytes
VirITTrojan.JS.Dwnldr.BXY

k9ah19bwb.exe
MD5: a44f9558755af01f502ca2892fbaa48d
Dimensione: 544992 Bytes
VirIT: Trojan.Win32.TrickBot.BXY

IOC
:
338883c959bcacf620cc089134149efb
b997946a57ece6709efcb299bfffbe8e
a44f9558755af01f502ca2892fbaa48d

p://bbvaticanskeys[.]com/RED3.exe
IP: 94.23.64.40
 

Torna ad inizio pagina  

14 gennaio 2020

Emotet


KXJYB21-20200114.doc
MD5: c04fa829e093f9bb088cdd7fd7594b19
Dimensione: 238061 Bytes
VirIT: W97M.Emotet.BXZ

titlewrap.exe
MD5: 60a64f8ae78910f0f0d3552da7c55aa6
Dimensione: 299120 Bytes
VirITTrojan.Win32.Emotet.BXZ

IOC
:
c04fa829e093f9bb088cdd7fd7594b19
60a64f8ae78910f0f0d3552da7c55aa6

p://cg.hotwp[.]net/wp-admin/b56-cf7ycs7-853921/
p://parcerias[.]azurewebsites.net/wp-admin/sqTIPlE/
p://blog.51cool[.]club/wp-admin/ZKhdjM/
s://jewellink[.]com.au/wp-includes/1sih8lud-24ey29cny-8733215949/
p://de.offbeat[.]guide/de/tletvwd-me4oo90-62479195/
 
Torna ad inizio pagina

PWStealer


Il malware sfrutta un software sviluppato da NirSoft chiamata "Mail PassView" per esfiltrare le password dai browser.

DHL_FORM14PDF.exe
MD5: c510ef789a4b8d006b9a358f60e6dfd4
Dimensione: 1993216 Bytes
VirIT: Trojan.Win32.Genus.BXZ

IOC:
c510ef789a4b8d006b9a358f60e6dfd4

Torna ad inizio pagina

LokiBot


ordine d'acquisto urgente.exe
MD5: c4d9c33fcd465d62cdbf4d33f26c3243
Dimensione: 49152 Bytes
VirIT: Trojan.Win32.PSWStealer.BYA

IOC
:
c4d9c33fcd465d62cdbf4d33f26c3243

p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php
p://unvacsth[.]tk

Torna ad inizio pagina
 

15 gennaio 2020

Emotet



9723229-1501.doc
MD5: 4bde69751c871e870acc06244c5ad625
Dimensione: 252147 Bytes
VirIT: W97M.Emotet.BYB

titlewrap.exe
MD5: a4e363b13ae74480aac7b37ad89142a2
Dimensione: 413777 Bytes
VirIT: Trojan.Win32.Emotet.BYB

IOC:
4bde69751c871e870acc06244c5ad625
a4e363b13ae74480aac7b37ad89142a2

s://demo.voolatech[.]com/360/yo12394/
p://vikisa[.]com/administrator/OMM4w/
s://snchealthmedico[.]com/software/FxbWe5q/
p://conilizate[.]com/Sitio_web/8PzLe0/
s://myevol[.]biz/webanterior/kid/

  

PWStealer


Il malware sfrutta un software sviluppato da NirSoft chiamata "Mail PassView" per esfiltrare le password dai browser.

DHL_FORM14PDF.exe
MD59ba276472c0a8323f944e420326b8f7e
Dimensione: 1965568 Bytes
VirITTrojan.Win32.PSWStealer.BYB

IOC:
9ba276472c0a8323f944e420326b8f7e

 



RAT


Il malware usa un software legittimo di controllo remoto chiamato "AnyPlace Control"  per avere l'accesso alla macchina della vittima.

Guida per aggiornare la password in Powertransactpdf.exe
MD5d0be060925ed29629568ffa1aeed766c
Dimensione: 1265475 Bytes
VirITTrojan.Win32.PSWStealer.BYB

IOC
:
d0be060925ed29629568ffa1aeed766c

 

 

16 gennaio 2020

LokiBot


Ordine di acquisto NO-2019-11000192.exe
MD5: 68cc73e510676a085f89b3ab281f6d58
Dimensione: 1398784 Bytes
VirITTrojan.Win32.PSWStealer.BYD

IOC:
68cc73e510676a085f89b3ab281f6d58

p://vlkl.xyz
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php

Torna ad inizio pagina

Emotet


FTT_S-687590.doc
MD5: 451ee501fb457db2c99dfd3a64a598ea
Dimensione: 249362 Bytes
VirITW97M.Downloader.BXZ

titlewrap.exe
MD5: 88e6ae40de967a1885e11917c98a4be3
Dimensione: 639236 Bytes
VirIT: Trojan.Win32.Emotet.BYD

IOC:
451ee501fb457db2c99dfd3a64a598ea
88e6ae40de967a1885e11917c98a4be3

p://taobaoraku[.]com/wp-content/MMGngia/
s://nguyenminhthong[.]xyz/wp-content/cxqSK70/
p://holodrs[.]com/gstore/T5zC3111/
p://compta[.]referansy.com/cgi-bin/lU12/
s://www.clinicacrecer[.]com/home/oKT/
 

Ursnif 


Nuovo documento 1.vbs
MD5: da75c6cdd78aa95ddfa3087a94d2faab
Dimensione: 4251482 Bytes
VirITTrojan.VBS.Dwnldr.BYF

ColorPick.exe
MD5: e6a6652cdde0881776712c33fb0f44e7
Dimensione: 262144 Bytes
VirIT: Trojan.Win32.Ursnif.BYF

Versione: 21711
Gruppo: 5153
Key: 10291029JSJUYNHG


IOC:
da75c6cdd78aa95ddfa3087a94d2faab
e6a6652cdde0881776712c33fb0f44e7

p://understudyvideo[.]com/akls?ymc=75426
p://searchfundanalyst[.]com/uedqoyl?wjjkd=14456
p://understudyknowledge[.]com/paginfo83.php
link.philippeschellekens[.]com
 

17 gennaio 2020

Emotet


fattura 1676741.doc
MD5: 35f98ab946f48323fbf47fa8bc439d7e
Dimensione: 258504 Bytes
VirIT: W97M.Emotet.BYF

titlewrap.exe
MD5: 845694ec8fb3b958f21d5ef518305571
Dimensione: 340079 Bytes
VirITTrojan.Win32.Emotet.BYF

IOC:
35f98ab946f48323fbf47fa8bc439d7e
845694ec8fb3b958f21d5ef518305571

p://jayracing[.]com/996tt/UNID/
p://josemoo[.]com/Vs7x8hyVEL/
p://rcmgdev44[.]xyz/cgi-bin/rossN32/
p://itconsortium[.]net/images/0o32239/
p://demu[.]hu/wp-content/UWal/

 

W97M.Downloader


fa00014413104.doc
MD5: 4e065592040179258a9316f7535b0b57
Dimensione: 680448 Bytes
VirITW97M.Downloader.BYG

swedfr0.jse
MD5: ffafce2a4aa98bec59a1b065691336dd
Dimensione: 312720 Bytes
VirITTrojan.JS.Dwnldr.BYG

IOC
:
4e065592040179258a9316f7535b0b57
ffafce2a4aa98bec59a1b065691336dd
 

Torna ad inizio pagina  



Consulta le campagne del mese di Dicembre

Vi invitiamo a consultare i report del mese di Dicembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

04/01/2020 = Report settimanale delle campagne italiane di Malspam dal 04 gennaio al 10 gennaio 2020
21/12/2019 = Report settimanale delle campagne italiane di Malspam dal 21 dicembre al 27 dicembre 2019
14/12/2019 = Report settimanale delle campagne italiane di MalSpam dal 14 dicembre al 20 dicembre 2019

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283