TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Labs

Vir.IT eXplorer PRO supera il test internazionale VB100 2020-06

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

09/03/2020 08:48:17 - 2020W10 Report settimanale= > 07-13/03 2K20 campagne MalSpam target Italia

       
week10

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 07 marzo 2020 al 13 marzo 2020: Ursnif, OSTAP, SLoad, Adwind, Remcos, HawkEye, LokiBot, PWStealer

INDICE

==> 09 marzo 2020 => Ursnif, PWStealer
 
==> 10 marzo 2020 => SLoad, LokiBot, Adwind, PWStealer

==>
 11 marzo 2020 => Ursnif, HawkEye, PWStealer, Remcos

==> 
12 marzo 2020 => Ursnif, OSTAP,  NanoCore

==> 13 marzo 2020 => HawkEye, LokiBot, NanoCore
 

==> Consulta le campagne del mese di Febbraio



09 marzo 2020

Ursnif


2020030982 Sollecito pagamento.xls

MD5: 58c46218a48e3c764163f6c0963c1893
Dimensione: 63488 Bytes
VirIT: X97M.Ursnif.CBA

[ PAYLOAD URSNIF ]
MD5: bb6b130a753d95057f6d25a5e6dbd00d
Dimensione: 253440 Bytes
VirITTrojan.Win32.Ursnif.CBB

Versione: 214125
Gruppo: 2052
Key: 10291029JSJUXMPP

IOC:
58c46218a48e3c764163f6c0963c1893
bb6b130a753d95057f6d25a5e6dbd00d

p://italycovid-19[.]site
p://stornocovid-19[.]pw
p://recoverrryasitalycovid-19[.]xyz

PWStealer


Ordine nr. 84100090320201.exe

MD5: fba60fd12bc3e391c6101f4dbfee7983
Dimensione: 61440 Bytes
VirIT: Trojan.Win32.PSWStealer.CBA

IOC:
fba60fd12bc3e391c6101f4dbfee7983


Torna ad inizio pagina
 

10 marzo 2020

LokiBot



 
PURCHASE ORDER_PDF.......scr
MD5: fe4db744171b6e592dc31aec44d34919
Dimensione: 65536 Bytes
VirITTrojan.Win32.PSWStealer.CBC

IOC
:
fe4db744171b6e592dc31aec44d34919

p://castrolascotools[.]us
p://alphastand[.]trade
p://kbfvzoboss[.]bid


SLoad



verificare-dati-fatt-XX71714441017.vbs
MD5: de11180857b28e7c08b776efa2eb579d
Dimensione: 9852 Bytes
VirITTrojan.VBS.Dropper.CBC

IOC
:
de11180857b28e7c08b776efa2eb579d
 
s://rachellubell[.]com

PWStealer


N. fattura in scadenza # 895835_pdf_.exe
MD5: 1b679d3c5417f23e6265bea83054be41
Dimensione: 437248 Bytes
VirITTrojan.Win32.PSWStealer.CBC

IOC
:
1b679d3c5417f23e6265bea83054be41

PWStealer



OFO0002000640_669386.exe
MD5: 66080f04ee4966b348efc40d9a1938e3
Dimensione: 61440 Bytes
VirITTrojan.Win32.PSWStealer.CBC

IOC
:
66080f04ee4966b348efc40d9a1938e3

Adwind



HERC -Prof.jar
MD5: 608588408b9b2022b669da612fdec24e
Dimensione: 404774 Bytes
VirITTrojan.Java.Adwind.CBD

IOC
:
608588408b9b2022b669da612fdec24e
 
p://dman30.ddns[.]net

Adwind



AGG-NORM-COV19.pdf.jar
MD5: 3235000bfa11642c03e7fa323097dd05
Dimensione: 9934 Bytes
VirITTrojan.Java.Adwind.CBD

IOC
:
3235000bfa11642c03e7fa323097dd05
 
p://teddyboe34.dns[.]navy
Torna ad inizio pagina
  

11 marzo 2020

Ursnif



Nuovo documento 1.vbs
MD5: bee4e9e1e2ccc6b67fdaa1bc4e5d4201
Dimensione: 5123139 Bytes
VirITTrojan.VBS.Ursnif.CBE

TableOfColors.exe
MD5: 9584244d32c285c2a80f033f3b8c7c97
Dimensione: 597504 Bytes
VirITTrojan.Win32.Ursnif.CBE

Versione: 300848
Gruppo: 20208481
Key: t9Kv5JN4VwpcFO4u

IOC:
bee4e9e1e2ccc6b67fdaa1bc4e5d4201
9584244d32c285c2a80f033f3b8c7c97

p://mlzange[.]com
p://kotbikes[.]xyz
 

HawkEye

  

Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView
01237736400273118_03112020.exe
MD5646fef2a911e8fb4c20f8ee086a60227
Dimensione: 2280448 Bytes
VirITTrojan.Win32.PSWStealer.CBE

IOC
:
646fef2a911e8fb4c20f8ee086a60227

p://pomf[.]cat
s://a.pomf[.]cat/

PWStealer


Ordine n. OA200002951.exe
MD5154d0e55e359484e3f38707fff7bb740
Dimensione: 57344 Bytes
VirITTrojan.Win32.PSWStealer.CBF

IOC:
154d0e55e359484e3f38707fff7bb740

Remcos


Nuovo ordine di richiesta 675533299,pdf.exe
MD53e3975023407ad2fbbfc87d5c7744c43
Dimensione: 986803 Bytes
VirITTrojan.Win32.PSWStealer.davedere

Zbozbxe.exe
MD54d7013f160a770eb5d1b408db3b2a303
Dimensione: 717824 Bytes
VirITTrojan.Win32.PSWStealer.davedere

IOC:
3e3975023407ad2fbbfc87d5c7744c43
4d7013f160a770eb5d1b408db3b2a303

216.38.8[.]168
 

12 marzo 2020

Ursnif

  

Nuovo documento 1.vbs
MD5: bd7be2ef724d3486f885b5b9431396ad
Dimensione: 4852632 Bytes
VirITTrojan.VBS.Ursnif.CBG

TableOfColors.exe
MD5a4aa73091dbb49426987e5f80722ca3f
Dimensione: 604848 Bytes
VirITTrojan.Win32.Ursnif.CBG

Versione: 300848
Gruppo: 20208481
Key: V0mw45hRMcIp07HQ

IOC:
bd7be2ef724d3486f885b5b9431396ad
a4aa73091dbb49426987e5f80722ca3f

p://collegeinmenu[.]xyz
 

OSTAP



f2656392696.doc

MD5: a142781f57164afee327a8df73963135
Dimensione: 396597 Bytes
VirITW97M.Ostap.CBG

presskey.jse
MD5: e556ea8266efc719db93a63d99901b61
Dimensione: 472794 Bytes
VirITTrojan.JS.Ostap.CBG

IOC:
a142781f57164afee327a8df73963135
e556ea8266efc719db93a63d99901b61

NanoCore


Rmc-ordine120320.exe
MD5: 60d8c42b5bf1b946a92f096c8df622f7
Dimensione: 57344 Bytes
VirITTrojan.Win32.PSWStealer.CBG

IOC:
60d8c42b5bf1b946a92f096c8df622f7

 

13 marzo 2020

HawkEye


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

4009700451123300977_03132020.exe

MD5: 9b5621c2b238094edde2931f5f120e20
Dimensione: 2125824 Bytes
VirITTrojan.Win32.Injector.CBI

IOC:
9b5621c2b238094edde2931f5f120e20

p://pomf[.]cat
s://a.pomf[.]cat

LokiBot


RICHIEDI OFFERTA 13-03-2020pdf.exe

MD5: b47bc7af9871988ef522f00316efbda0
Dimensione: 40960 Bytes
VirITTrojan.Win32.LokiBot.CBJ

IOC:
b47bc7af9871988ef522f00316efbda0

NanoCore


doc130320.exe

MD5: 0ea66534c630ba55f5848d94e7ef1e69
Dimensione: 379904 Bytes
VirITTrojan.Win32.NanoCore.CBJ

IOC:
0ea66534c630ba55f5848d94e7ef1e69
Torna ad inizio pagina 
 


Consulta le campagne del mese di Febbraio

Vi invitiamo a consultare i report del mese di Febbraio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

29/02/2020 = Report settimanale delle campagne italiane di Malspam dal 29 febbraio al 06 marzo 2020
22/02/2020 = Report settimanale delle campagne italiane di Malspam dal 22 febbraio al 28 febbraio 2020
15/02/2020 = Report settimanale delle campagne italiane di MalSpam dal 15 febbraio al 21 febbraio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283