TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Labs

Vir.IT eXplorer PRO supera il test internazionale VB100 2020-06

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

27/01/2020 08:56:41 - 2020W04 Report settimanale= > 25-31/01 2K20 campagne MalSpam target Italia

       
week42

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 25 gennaio 2020 al 31 gennaio 2020: Emotet, Ursnif, Sload, LokiBot, Adwind, Worm, PWStealer

INDICE

 ==> 27 gennaio 2020 => Emotet, SLoad, LokiBot, Adwind, Worm, Ursnif
 
 
==> 28 gennaio 2020 => Emotet, LokiBot, PWStealer

 ==> 
29 gennaio 2020 => Emotet, PWStealer, LokiBot

 ==> 
30 gennaio 2020 => LokiBot, PWStealer

 ==> 31 gennaio 2020 => LokiBot, Emotet
 

 
==> Consulta le campagne del mese di Gennaio



27 gennaio 2020

SLoad


copia-cortesia-fattura-numero-JY85380555158.vbs

MD5: 02fbf778abc4345d1f6e56bb876217ef
Dimensione: 9459 Bytes
VirITTrojan.VBS.SLoad.BYR

qSSyZGdd.jpg
MD5: d89343d7ca79d4706bab23b5ccc871c2
Dimensione: 133759 Bytes
VirIT: Trojan.VBS.SLoad.BYR

IOC:
02fbf778abc4345d1f6e56bb876217ef
d89343d7ca79d4706bab23b5ccc871c2

s://beststaffusa[.]com/bar/JY85380555158.jpg
 


Torna ad inizio pagina

LokiBot


Conferma pagamento KOVO 23 gennaio.exe
MD5: 721e12d8bafef038cb648d7cc15fc7fe
Dimensione: 73728 Bytes
VirIT: Trojan.Win32.PSWStealer.BYR

IOC:
74ba0dbe694df934016c8b5777c7d176
6e7603cfba86c4360eca38f5ecce33ab

s://uwachukwuu[.]cf
s://alphastand[.]trade/alien/fre.php
s://kbfvzoboss[.]bid/alien/fre.php
 

Emotet


SEINK6J_012720_{FROM.DOMAIN-1-UP}.doc
MD5: 13596a36d02d2c930e77ba1e9ea865d6
Dimensione: 155239 Bytes
VirIT: W97M.Emotet.BYR

pdeftpurge.exe
MD5: 4b700f417558c91b40d9e5ff2285c4d6
Dimensione: 110664 Bytes
VirITTrojan.Win32.Emotet.BYS

IOC:
13596a36d02d2c930e77ba1e9ea865d6
4b700f417558c91b40d9e5ff2285c4d6

s://www.speedpassitalia[.]it/zhofrq/bCHcIAXtR/
p://www.charliemoney[.]com.br/q8daa5/jfez3qid-1jnc-33996/
s://www.redmoonexport[.]in/redmoon/ySQbEVsk/
p://recentgovtjobcircular[.]com/52ezg2o/TwjeWJ/
p://dineka[.]lt/pastas/TNYdbPezs/

Adwind


R-HERC GRADNJA.jar
MD5: b982e821b31781116d4f46c2340aae6f
Dimensione: 384593 Bytes
VirITTrojan.Java.Adwind.BYR

IOC:
b982e821b31781116d4f46c2340aae6f

s://addahost.ddns[.]net

Worm


FT0-85813950.doc
MD5: cc2d0b937856531609cc24d8629e2533
Dimensione: 644096 Bytes
VirITW97M.Downloader.BYR

hh_9.2.1_.jse
MD5: 30e0d1848266fba0dfde16a022d9c6af
Dimensione: 305089 Bytes
VirIT: Worm.JS.Agent.BYR

IOC:
cc2d0b937856531609cc24d8629e2533
30e0d1848266fba0dfde16a022d9c6af

 

Ursnif


Lettera di sollecito di pagamento 170202.xls
MD5: 066d275fe1a1ebaad6814f7c9a40eb06
Dimensione: 92672 Bytes
VirITX97M.Ursnif.BY

(PAYLOAD URSNIF)
MD5: 302de2130b3d1b93af9a46ca86493920
Dimensione: 180224 Bytes
VirITTrojan.Win32.Ursnif.BYT


Versione: 214112
Gruppo: 2052
Key: 10291029JSJUXMPP


IOC:
066d275fe1a1ebaad6814f7c9a40eb06

p://desaidles[.]fun
p://agenziadellentrate[.]space
p://legogogogo[.]pro
p.//hammersummer[.]com
p://zaletuf[.]pro
p://kolonimalosi[.]pw

Torna ad inizio pagina 
 

28 gennaio 2020

PWStealer


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

500980721217700821_28012020.exe

MD5: ac202bb37acbda922cfbbd774412de73
Dimensione: 2223104 Bytes
VirITTrojan.Win32.Genus.BYT

IOC
:
ac202bb37acbda922cfbbd774412de73

PWStealer


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

DHL_FORM14PDF.exe

MD5: 825360cf7d646d8544c5e7c495a2f638
Dimensione: 2151424 Bytes
VirITTrojan.Win32.PSWStealer.BYT

IOC
:
825360cf7d646d8544c5e7c495a2f638

 
 
Torna ad inizio pagina

Emotet



FA-Z-93417.doc
MD5: de35a1ee5eee7aafae0ff785b75a4244
Dimensione: 179001 Bytes
VirITW97M.Emotet.BYT

corsrtp.exe
MD5: 8ac6ad4a58f5e0a131a39ab08107b675
Dimensione: 451715 Bytes
VirIT: Trojan.Win32.Emotet.BYW

IOC:
de35a1ee5eee7aafae0ff785b75a4244
8ac6ad4a58f5e0a131a39ab08107b675

p://johnfrancisellis[.]com/87/GK5W1gS3/
p://kabookapp[.]com/crm.kabookapp.com/afMG/
p://lamilla[.]net/wp-content/F9GxhZ/
p://lamdep24h[.]life/web_map/PspHv134/
p://bjenkins[.]webview.consulting/QpbbmvTkyy/xc75659/


Torna ad inizio pagina

PWStealer


ordine 202015225.exe
MD5: 84dbf2ad51446f4086750b706e8da551
Dimensione: 98304 Bytes
VirIT: Trojan.Win32.Genus.BYT

IOC
:
84dbf2ad51446f4086750b706e8da551

PWStealer

 

OFF20 AGRICOLA NOCESE 20200128.exe
MD5: b311b70cf037068f706b050d31847df8
Dimensione: 98304 Bytes
VirIT: Trojan.Win32.PSWStealer.BYU

IOC
:
b311b70cf037068f706b050d31847df8

LokiBot


Carini ord. 126 3015504.exe
MD5: bd5e778b8730c0b43d027677b77b62cb
Dimensione: 98304 Bytes
VirITTrojan.Win32.Genus.BYT

IOC
:
bd5e778b8730c0b43d027677b77b62cb

29 gennaio 2020

PWStealer



Documento standard FER.exe
MD5: 07e3fc18a32029af8ca9a5e876ad4c11
Dimensione: 94208 Bytes
VirIT: Trojan.Win32.Genus.BYV

IOC:
07e3fc18a32029af8ca9a5e876ad4c11

PWStealer

  


campioni di prodotto.scr
MD5c8e9971e12121a887c3ad5af1468dea0
Dimensione: 475648 Bytes
VirITTrojan.Win32.Genus.BYV

IOC
:
c8e9971e12121a887c3ad5af1468dea0

LokiBot


polizza di versamento di Kocel.exe
MD547588054e8d246a65eae71ea0f7ec653
Dimensione: 45056 Bytes
VirITTrojan.Win32.PSWStealer.BYV

IOC
:
47588054e8d246a65eae71ea0f7ec653

p://butland[.]gq
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php

Emotet


2020J00000580.doc
MD535bb6ed8734aea9798e3639123163dc7
Dimensione: 135780 Bytes
VirITW97M.Emotet.BYW

corsrtp.exe
MD562121d3da371e74b424699903af7c509
Dimensione: 536978 Bytes
VirITTrojan.Win32.Emotet.BYW

IOC
:
35bb6ed8734aea9798e3639123163dc7
62121d3da371e74b424699903af7c509

p://blinkro[.]eu/wp-content/hMDRkCt/
p://blasmontavez[.]com/wp-includes/ep0/
p://luxuryflower[.]net/wp-content/cgNoUgY/
p://gostareh[.]org/old/f7tSe81/
p://hindwalkerphoto[.]com/wp-content/v1d8mo/
 
 

 

30 gennaio 2020

LokiBot


8719 - Carini ord. 126 3015506.exe
MD5: 2463a773ad5e5b1253cec67694fc300b
Dimensione: 69632 Bytes
VirITTrojan.Win32.Genus.BYX

IOC:
2463a773ad5e5b1253cec67694fc300b

p://euromopy[.]tech
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php


LokiBot


Ordine nr. 73800300120.exe
MD5: 5753a2fc811fdc6bdd4b8e902567882f
Dimensione: 69632 Bytes
VirIT: Trojan.Win32.PSWStealer.BYY

IOC:
5753a2fc811fdc6bdd4b8e902567882f

p://euromopy[.]tech
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php

 

Torna ad inizio pagina

PWStealer


Ordine_30.01.2020_9.exe
MD5: 4f4b14bb00a7a656ee64e352d16a6b40
Dimensione: 69632 Bytes
VirIT: Trojan.Win32.PSWStealer.BYY

IOC:
4f4b14bb00a7a656ee64e352d16a6b40
 

31 gennaio 2020

LokiBot


2020045367822094.exe
MD5: ae7c075151424f20a9ed12d989a81bde
Dimensione: 1230336 Bytes
VirIT: Trojan.Win32.Genus.BUI

IOC:
ae7c075151424f20a9ed12d989a81bde

p://sccslink[.]xyz
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php

 

 

Emotet


NRZ7V9YB_013120_{FROM.DOMAIN-1-UP}.doc
MD5: 6d06d60e77934775c1d08cc2e83dcee2
Dimensione: 129328 Bytes
VirITW97M.Emotet.BYZ

corsrtp.exe
MD5: af14f2ffc000d4fc3c14093ed26460ff
Dimensione: 362611 Bytes
VirIT: Trojan.Win32.Emotet.BYZ

IOC
:
6d06d60e77934775c1d08cc2e83dcee2
af14f2ffc000d4fc3c14093ed26460ff

p://duhochvc[.]com/function.art/oWgHfVtE/
p://all-fly[.]info/bt/DFYPTYX/
p://studiomap[.]kr/wp-includes/eGXDEMy/
s://clcindy[.]com/wp-content/ijsnjdmyew-u8csa-3686522342/
p://uglobalfinance[.]com/wp-includes/xxpNRHeCE/

Torna ad inizio pagina  



Consulta le campagne del mese di Gennaio

Vi invitiamo a consultare i report del mese di Gennaio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

18/01/2020 = Report settimanale delle campagne italiane di Malspam dal 18 gennaio al 24 gennaio 2020
11/01/2020 = Report settimanale delle campagne italiane di Malspam dal 11 gennaio al 17 gennaio 2020
04/01/2020 = Report settimanale delle campagne italiane di MalSpam dal 04 gennaio al 10 gennaio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283