TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

18/02/2020 09:17:28 - 2020W07 Report settimanale= > 15-21/02 2K20 campagne MalSpam target Italia

       
week06

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 15 febbraio 2020 al 21 febbraio 2020:

INDICE

==> 17 febbraio 2020 => PWStealer
 
==> 18 febbraio 2020 => Ursnif, Dharma, Adwind

==>
 19 febbraio 2020 => Ursnif, LokiBot, PWStealer

==> 
20 febbraio 2020 => LokiBot, PWStealer

==> 21 febbraio 2020 => HawkEye
 

==> Consulta le campagne del mese di Gennaio/Febbraio



17 febbraio 2020

PWStealer


Requisiti.exe

MD5: ef5c6d67fb321f6d59ac926f3766d2f1
Dimensione: 1699328 Bytes
VirIT: Trojan.Win32.PSWStealer.BZW

IOC:
ef5c6d67fb321f6d59ac926f3766d2f1

PWStealer


Foglio delle quotazioni_RFQ#17022020.exe

MD5: 04da07ae32266df1a90bd3b2326c5b18
Dimensione: 569344 Bytes
VirIT: Trojan.Win32.PSWStealer.BZW

IOC:
04da07ae32266df1a90bd3b2326c5b18

PWStealer


copy.exe

MD5: 658a35c081d90b727c869ae7e170689b
Dimensione: 663552 Bytes
VirITTrojan.Win32.PSWStealer.BZW

IOC:
04da07ae32266df1a90bd3b2326c5b18


Torna ad inizio pagina
 

18 febbraio 2020

Ursnif-Dharma


Questa campagna si è contraddistinta per una particolarità: se lo script scaricato dal link contenuto nella mail veniva eseguito prima delle 8.40 circa del 18/02/2020 il payload scaricato era quello del Trojan Banker Ursnif, mentre successivamente è stato sostituito con il CryptoMalware noto come Dharma

Nuovo documento 2.vbs
MD5: 834f9f8690b3a21d51088a2fd1b04344
Dimensione: 5314200 Bytes
VirITTrojan.VBS.Dwnldr.CU

[Payload Ursnif]
TableOfColors.exe
MD5: 9e6d2554657b486d8f7e1656efc0d9f9
Dimensione: 173064 Bytes
VirITTrojan.Win32.Ursnif.BZY

Versione: 300848
Gruppo: 20208481
Key: 4PCkN7MmyihM2Rrs

[Payload Dharma]
TableOfColors.exe

MD5: a8c0a5e01708f85055c173af3a5734c0
Dimensione: 273920 Bytes
VirITTrojan.Win32.CryptDharma.BZY




IOC
:
834f9f8690b3a21d51088a2fd1b04344
9e6d2554657b486d8f7e1656efc0d9f9
a8c0a5e01708f85055c173af3a5734c0

s://dungdoptiop[.]xyz
p://tohomeroom[.]com
p://banksesiqueira[.]xyz 
p://mengather[.]com/

Adwind



Castellino 28.2.2020_Ordine e offri.jar
MD5: ccdeb2f4a42bd1d3a794b4890842fda6
Dimensione: 385067 Bytes
VirITTrojan.Java.Adwind.BZZ

IOC
:
ccdeb2f4a42bd1d3a794b4890842fda6
 
addahost.ddns.net
Torna ad inizio pagina
 
 

19 febbraio 2020

Ursnif



Nuovo documento 2.vbs
MD5: 30cc5ffeca284c31ed7cf8f1b8f8fef5
Dimensione: 5126996 Bytes
VirITTrojan.VBS.Dwnldr.CV

TableOfColors.exe
MD5: 31cf10937f9f8533adfc6278b6475174
Dimensione: 152584 Bytes
VirITTrojan.Win32.Ursnif.CAA

Versione: 300848
Gruppo: 20208481
Key: bL1jgCNKcrcYfYFF

IOC:
30cc5ffeca284c31ed7cf8f1b8f8fef5
31cf10937f9f8533adfc6278b6475174

p://businessknowledgetransfer[.]com
s://mandyenando[.]xyz
p://stilthousebeer[.]xyz

LokiBot

  


Contabile conto corrente1 _PDF.exe
MD581fda89b4c4c9f1797be6ea42c4b5c8f
Dimensione: 53248 Bytes
VirITTrojan.Win32.PSWStealer.CAA

IOC
:
81fda89b4c4c9f1797be6ea42c4b5c8f

p://febspxiii[.]xyz
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php 

PWStealer


FATTURA PROFORMA.exe
MD548f7d52316e72063e0e776e1b4041fdc
Dimensione: 53248 Bytes
VirITTrojan.Win32.PSWStealer.CAB

IOC:
48f7d52316e72063e0e776e1b4041fdc
 

20 febbraio 2020

PWStealer


SWIFT33938.exe
MD5: f0e1333e0c397acaae9401b5f8cdcbe2
Dimensione: 49152 Bytes
VirITTrojan.Win32.PSWStealer.CAC

IOC:
f0e1333e0c397acaae9401b5f8cdcbe2

LokiBot



Contabile conto corrente1 _PDF.exe

MD5: 933155de14e6e038f14ee2cb52797bc7
Dimensione: 49152 Bytes
VirITTrojan.Win32.PSWStealer.CAC

IOC:
933155de14e6e038f14ee2cb52797bc7

p://febspxiii[.]xyz
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php

PWStealer


payment634675867877.exe
MD5: 7ea91089f91fa6d371f19023d60fda32
Dimensione: 49152 Bytes
VirITTrojan.Win32.PSWStealer.CAC

IOC:
7ea91089f91fa6d371f19023d60fda32

21 febbraio 2020

HawkEye


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

PAYMENT_SLIP_2122020_Doc_CHINA.exe

MD5: 63a3ffb64a36b2a27382bf98a953f915
Dimensione: 2155520 Bytes
VirITTrojan.Win32.PSWStealer.CAD

IOC:
63a3ffb64a36b2a27382bf98a953f915

p://pomf[.]cat
s://a.pomf[.]cat

HawkEye


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

Fattura di pagamento.exe

MD5: 681caca817b5a71c55f6fc81fc4946c1
Dimensione: 635392 Bytes
VirITTrojan.Win32.PSWStealer.CAE

IOC:
681caca817b5a71c55f6fc81fc4946c1
 
Torna ad inizio pagina 
 


Consulta le campagne del mese di Gennaio/Febbraio

Vi invitiamo a consultare i report del mese di Gennaio/Febbraio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

08/02/2020 = Report settimanale delle campagne italiane di Malspam dal 08 febbraio al 14 febbraio 2020
01/02/2020 = Report settimanale delle campagne italiane di Malspam dal 01 febbraio al 07 febbraio 2020
25/01/2020 = Report settimanale delle campagne italiane di MalSpam dal 25 gennaio al 31 gennaio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283