TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

23/03/2020 09:27:17 - 2020W12 Report settimanale= > 21-27/03 2K20 campagne MalSpam target Italia

       
week12

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 21 marzo 2020 al 27 marzo 2020: Ursnif, SLoad, PWStealer

INDICE

==> 23 marzo 2020 => Ursnif, SLoad

==> 26 marzo 2020 => PWStealer
 

==> Consulta le campagne del mese di Marzo



23 marzo 2020

SLoad

DOC-12162100155.vbs
MD5: 5c0830940bf489e328175dff221337f1
Dimensione: 9835 Bytes
VirITTrojan.VBS.Dwnldr.CBV

IOC:
5c0830940bf489e328175dff221337f1

s://esengey[.]com

Ursnif



Fattura_105850.xls
MD5: 8f82e982fe759b181611f3d47a182f09
Dimensione: 81408 Bytes
VirITX97M.Ursnif.CBV

[ PAYLOAD URSNIF ]
MD5b4aa38a72637bb4d95f5f09bea808b4d
Dimensione: 269824 Bytes
VirITTrojan.Win32.Ursnif.CBW

Versione: 214131
Gruppo: 2052
Key: 10291029JSJUXMPP

IOC
:
8f82e982fe759b181611f3d47a182f09
b4aa38a72637bb4d95f5f09bea808b4d
 
p://falloitalbar[.]store


Torna ad inizio pagina
 
 

26 marzo 2020

PWStealer

NIS APPROVED MATERIAL DATA SHEET ORDER.exe
MD5: 9145ad14cfe52a79f2fed2b7730fe5a0
Dimensione: 826368 Bytes
VirITTrojan.Win32.Injector.CCD

Il sample analizzato fa parte della famiglia dei Password Stealer scritto in Borland Delphi, dopo essersi eseguito si sposta in %temp% cambiando nome, nel caso dell'analisi effettuata è [ tmpG968.tmp ].

Analizzando il dump del processo che rimane attivo in memoria possiamo vedere che al suo interno è presente un file scritto in C# NET Framework 2.0, la cui data di compilazione è 20/03/2020 14:26:13.

Il malware al suo interno contiene dei moduli per esfiltrare i dati dai seguenti software:
  • Mozilla
  • Postbox
  • Thunderbird
  • SeaMonkey
  • Flock
  • BlackHawk
  • CyberFox
  • KMeleon
  • IceCat
  • PaleMoon
  • IceDragon
  • WaterFox
I dati da esfiltrare vengono inviati via email attraverso il server mail.ios.co[.]id con indirizzo IP  198.15.87[.]235


IOC:
5c0830940bf489e328175dff221337f1
 
 
Torna ad inizio pagina 


Consulta le campagne del mese di Marzo

Vi invitiamo a consultare i report del mese di Marzo, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

14/03/2020 = Report settimanale delle campagne italiane di Malspam dal 14 marzo al 20 marzo 2020
07/03/2020 = Report settimanale delle campagne italiane di Malspam dal 07 marzo al 13 marzo 2020
29/02/2020 = Report settimanale delle campagne italiane di MalSpam dal 29 febbraio al 06 marzo 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283