TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Labs

Vir.IT eXplorer PRO supera il test internazionale VB100 2020-06

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

02/03/2020 09:01:01 - 2020W09 Report settimanale= > 29/02-06/03 2K20 campagne MalSpam target Italia

       
week09

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 29 febbraio 2020 al 06 marzo 2020: Tracking Pixel, FTCode, HawkEye, FormBook, OSTAP, PWStealer

INDICE

==> 29 febbraio 2020 => Tracking Pixel
 
==> 01 marzo 2020 => Tracking Pixel

==>
 02 marzo 2020 => FTCode, HawkEye, OSTAP, PWStealer

==> 
03 marzo 2020 => Tracking Pixel, HawkEye, FormBook, PWStealer, OSTAP

==> 04 marzo 2020 => Tracking Pixel, FormBook, PWStealer
 

==> Consulta le campagne del mese di Febbraio

 

29 febbraio 2020

Tracking Pixel


Questo messaggio non riporta link o allegati da aprire e potrebbe risultare all'ignaro utente una email legittima.

Se però andiamo ad analizzare nel dettaglio il sorgente del messaggio scopriamo che all'interno della mail è contenuto quello che in gergo tecnico vene definito "Tracking Pixel":

<html>
<head>

</head>
<body>
<p>
Gentile [REDACTED],
Il credito d’imposta puo essere utilizzato, anche in caso di perdite, a copertura di un ampio insieme di imposte e contributi.Sono agevolabili tutte le spese relative a ricerca fondamentale, ricerca industriale e sviluppo sperimentale: assunzione di personale altamente qualificato e tecnico, contratti di ricerca con universita, enti di ricerca, imprese, startup e PMI innovative, quote di ammortamento di strumenti e attrezzature di laboratorio, competenze tecniche e privative industriali
Di seguito riporto alcuni dati dell’analisi di monitoraggio che trovate anche sul sito del Ministero dello Sviluppo Economico: nel le imprese che hanno investito in ricerca e sviluppo sono piu che raddoppiate ; gli ordinativi interni dei beni incentivati da super e iper ammortamento e dalla Nuova Sabatini sono cresciuti dell’11%; il Fondo di Garanzia per le Pmi ha garantito 17,5 miliardi di crediti aggiuntivi; i Contratti di Sviluppo hanno attivato 4 miliardi di investimenti creando o salvaguardando 58mila posti di lavoro; l’export cresce dell’8%, piu di Francia e Germania.Incentivare la collocazione in Italia dei beni immateriali attualmente detenuti all’estero da imprese italiane o estere e al contempo incentivare il mantenimento dei beni immateriali in Italia, evitandone la ricollocazione all’estero. Sono numeri incoraggianti, ottenuti grazie a voi e alla vostra capacita di investire, innovare e internazionalizzare, anche sfruttando gli strumenti e gli incentivi del Piano.</p>
<DIV><IMG width=1 height=1 alt="" src="https://bespokelightingsystems.com/touch/icon.jpeg[...REDACTED...]G%2Fh5a2US3BzI;></DIV></body>
</html>
 

Come si può notare oltre al testo del messaggio è contenuto un 
TAG IMG di HTML che viene utilizzato per caricare una immagine da un sito WEB che non risulta essere associato al mittente.
Questo tag IMG specifica con i due parametri WIDTH e HEIGHT una dimensione dell'immagine di 1px di larghezza ed 1 px di altezza, in questo modo l'immagine risulterà sostanzialmente invisibile all'utente.
Nel momento in cui viene aperta la mail l'immagine viene caricata e l'attaccante è in grado di sapere che quel specifico messaggio è stato aperto e quindi l'email di destinazione è attiva e consultata.
Questa tecnica viene utilizzata per verificare se le email di destinazione sono attive e consultate per poi effettuare ulteriori invii di email di malspam.

Nello screenshot sottostante vediamo l'immagine che viene caricata all'interno del messaggio, come si può notare si tratta un punto di 1px bianco che una volta caricato nell'email che ha lo sfondo bianco risulterà invisibile.



IOC:
https://ashtoncandlecompany[.]com
 


Torna ad inizio pagina
 

01 marzo 2020

Tracking Pixel


Questo messaggio non riporta link o allegati da aprire e potrebbe risultare all'ignaro utente una email legittima.
Se però andiamo ad analizzare nel dettaglio il sorgente del messaggio scopriamo che all'interno della mail è contenuto quello che in gergo tecnico vene definito "Tracking Pixel":
<html>
<head>

</head>
<body>
<p>Gentile [REDACTED],
Le viene inviato automaticamente
ricerca industriale e sviluppo sperimentale: assunzione di personale altamente qualificato e tecnico, contratti di ricerca con universita, enti di ricerca, imprese 4694 e PMI innovative, quote di ammortamento
Di seguito riporto alcuni dati 36597 dell analisi di monitoraggio che trovate anche sul sito nel le imprese che hanno investito in ricercmevestimenti creandore la collocazione done la ricollocazione all’estero.
Sono numeri incoraggianti, e internazionalizzare, 749837 anche sfruttando gli strumenti e gli incentivi del Piano.
Le informazioni, i dati e le notizie contenute nella presente comunicazione e i relativi allegati sono di natura privata e come tali possono essere riservate e sono, comunque, destinate esclusivamente ai destinatari indicati in epigrafe. La diffusione, distribuzione e/o la copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario e proibita, sia ai sensi dell’art. 616 c.p., sia ai sensi del regolamento UE n. 679/2016. Se avete ricevuto questo messaggio per errore, vi preghiamo di distruggerlo e di darcene immediata comunicazione anche inviando un messaggio di ritorno all’indirizzo e-mail del mittente.
Se la mail e stata ricevuta correttamente e ci si vuole avvalere del diritto all’oblio previsto nel regolamento EU 679/2016 all’art. 17 , lo si deve specificare rispondendo a questa mail. Nel caso in cui non ci si intende avvalere del predetto diritto i dati in nostro possesso continueranno ad essere utilizzati soltanto per lo scopo per cui sono stati raccolti e non verranno in nessun modo divulgati.</p>
<DIV><IMG width=1 height=1 alt="" src="https://ashtoncandlecompany[.]com/touch/icon.jpeg[...REDACTED...]gS3%2q;></DIV></body>
</html>

Come si può notare oltre al testo del messaggio è contenuto un TAG IMG di HTML che viene utilizzato per caricare una immagine da un sito WEB che non risulta essere associato al mittente.
Questo tag IMG specifica con i due parametri WIDTH e HEIGHT una dimensione dell'immagine di 1px di larghezza ed 1 px di altezza, in questo modo l'immagine risulterà sostanzialmente invisibile all'utente.
Nel momento in cui viene aperta la mail l'immagine viene caricata e l'attaccante è in grado di sapere che quel specifico messaggio è stato aperto e quindi l'email di destinazione è attiva e consultata.
Questa tecnica viene utilizzata per verificare se le email di destinazione sono attive e consultate per poi effettuare ulteriori invii di email di malspam.

Nello screenshot sottostante vediamo l'immagine che viene caricata all'interno del messaggio, come si può notare si tratta un punto di 1px bianco che una volta caricato nell'email che ha lo sfondo bianco risulterà invisibile.



IOC
:

https://bespokelightingsystems[.]com/
 
 
Torna ad inizio pagina
  

02 marzo 2020

HawkEye

  


DHL_FORM13PDF.exe
MD56ecb7bcba7cbccc3c557fbd8fdf72359
Dimensione: 2313216 Bytes
VirITTrojan.Win32.PSWStealer.CAQ

IOC
:
6ecb7bcba7cbccc3c557fbd8fdf72359

p://pomf[.]cat
s://a.pomf[.]cat/



HawkEye


spedizione.exe
MD5ff7d10aa3da33140352f744c445acfe9
Dimensione: 635904 Bytes
VirITTrojan.Win32.PSWStealer.CAQ

IOC:
ff7d10aa3da33140352f744c445acfe9



FTCode


MicrosoftWordDocument_7e4efa39c1eeb2c207122dcb06d893c83.vbs
MD5918f5225141be7440981a3fe00ac9e07
Dimensione: 134217729 Bytes
VirITTrojan.VBS.FTCode.AR

IOC:
918f5225141be7440981a3fe00ac9e07

p://way[.]tribalalpha.com



PWStealer


S.Order - 20-OCL14897 020320.exe

MD5: 32d21a277155b6ea1c543fa86e034187
Dimensione: 69632 Bytes
VirITTrojan.Win32.PSWStealer.CAQ

IOC:
32d21a277155b6ea1c543fa86e034187
 

OSTAP


f21678535305.doc
MD57818bab9eef0d0ad71b094ad2baacfbb
Dimensione: 544226 Bytes
VirITW97M.Downloader.CAR

march022020.jse
MD5e76c84b3e25207cce5cdd85261692626
Dimensione: 325820 Bytes
VirITTrojan.JS.Agent.CAR

IOC:
7818bab9eef0d0ad71b094ad2baacfbb
e76c84b3e25207cce5cdd85261692626

s://45.128.134[.]14

PWStealer


TR0984RED66............scr
MD57324e9e735e4c7b23f6c999ef7848232
Dimensione: 73728 Bytes
VirITTrojan.Win32.PSWStealer.CAR

IOC:
7324e9e735e4c7b23f6c999ef7848232

 

03 marzo 2020

HawkEye


S_20034004439112322_030320.exe
MD5: 31380e1481a51d17e3ef5265de038a41
Dimensione: 2591232 Bytes
VirITTrojan.Win32.PSWStealer.CAS

IOC:
31380e1481a51d17e3ef5265de038a41

p://pomf[.]cat/
s://a.pomf[.]cat



HawkEye



ORDER01102PDF_.exe

MD5: e6d7e7d0e11d82a5a34070da63ccd467
Dimensione: 2591232 Bytes
VirITTrojan.Win32.Injector.CAS

IOC:
e6d7e7d0e11d82a5a34070da63ccd467

FormBook


Ordine nr 5032032.exe
MD5: ba3e28a2f4271402fe4c0e02d38f93a0
Dimensione: 708608 Bytes
VirITTrojan.Win32.PSWStealer.CAS

IOC:
ba3e28a2f4271402fe4c0e02d38f93a0

OSTAP

 
f16744643420.doc
MD5a46b160ff27c51e4b30ced70726c2d07
Dimensione: 653530 Bytes
VirITW97M.Dropper.CAT

Ranlsojf.jse
MD5: 22cfe1295d1d8108e2b409de2e01d169
Dimensione: 328520 Bytes
VirITTrojan.JS.Agent.CAT

IOC:
a46b160ff27c51e4b30ced70726c2d07
22cfe1295d1d8108e2b409de2e01d169

Downloader


Questo messaggio riporta un link il quale una volta cliccato scarica un archivio ZIP che contiene un file .VBS
Il file VBS crea un Task di windows che effettua poi ulteriori collegamenti al sito s://eu.aemaccounting.]com

Inoltre il messaggio email contiene un "Tracking Pixel" caricato dall'indirizzo zekelliott.]com, nel momento in cui si apre il messaggio l'attaccante è in grado di sapere che quella specifica email è stata aperta.


Nuovo documento 1.vbs
MD5: d54dbb5ab799a54532876c4bc15e2220
Dimensione: 4823 Bytes
VirITTrojan.VBS.Dwnldr.CAS

IOC:

d54dbb5ab799a54532876c4bc15e2220

p://tatuspizza[.]com
s://eu.aemaccounting.]com

p://zekelliott.]com

PWStealer


Ordine nr. 8400030320.exe
MD5: d2bf926a16d9a903797ed8299f507636
Dimensione: 73728 Bytes
VirITTrojan.Win32.PSWStealer.CAT

IOC:
d2bf926a16d9a903797ed8299f507636

PWStealer(Security Xploded)


Il malware sfrutta i seguenti tool di SecurityXploded per l'esfiltrazione dei dati dal computer della vittima:
  • FTPPassword SecurityXploded
  • BrowserPassword SecurityXploded
  • EmailPassword SecurityXploded
order pdf.exe
MD5: 162324112064164e31b8cfd8b08d68dc
Dimensione: 1655344 Bytes
VirITTrojan.Win32.PSWStealer.CAT

GetBP.exe
MD5: a61d1724e03bc2d75cc52115b64e1bb1
Dimensione: 863232 Bytes
VirITHackTool.Win32.SecXploded.A

IOC:
162324112064164e31b8cfd8b08d68dc
a61d1724e03bc2d75cc52115b64e1bb1

PWStealer(Efesto)


Posteitaliane_Fattura.scr
MD5: 347d737b72391a312376389c32e3b8ce
Dimensione: 370688 Bytes
VirITTrojan.Win32.PSWStealer.CAM

IOC:
347dc95515ced42b90ccc0831f976e22
 

04 marzo 2020

FormBook


Ordine nr 5032032.exe
MD5: 8b570a0704a2a82cf8be9c67bad6214f
Dimensione: 926960 Bytes
VirITTrojan.Win32.PSWStealer.CAU

IOC:
8b570a0704a2a82cf8be9c67bad6214f

PWStealer


Ordine n. AA del 04032020.exe
MD5: 531edeb2336a2a3f7d4b3f904a205f92
Dimensione: 57344 Bytes
VirITTrojan.Win32.PSWStealer.CAU

IOC:
531edeb2336a2a3f7d4b3f904a205f92

PWStealer


Ordine nr. 8400040320.exe
MD5: 999073da03b6194d446ee0cf6829ad55
Dimensione: 61440 Bytes
VirITTrojan.Win32.PSWStealer.CAV

IOC:
999073da03b6194d446ee0cf6829ad55
 
Torna ad inizio pagina 
 

Consulta le campagne del mese di Febbraio

Vi invitiamo a consultare i report del mese di Febbraio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

22/02/2020 = Report settimanale delle campagne italiane di Malspam dal 22 febbraio al 28 febbraio 2020
15/02/2020 = Report settimanale delle campagne italiane di Malspam dal 15 febbraio al 21 febbraio 2020
08/02/2020 = Report settimanale delle campagne italiane di MalSpam dal 08 febbraio al 14 febbraio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283