TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month Vir.IT eXplorer PRO dal 2016 Certificato ICSA Labs

Vir.IT eXplorer PRO dal 2016 Certificato VB100

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

14/09/2020 08:36:19 - 2020W37 Report settimanale => 12-18/09 campagne MalSpam in Italia

       
week37

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 12 settembre al 18 settembre 2020: Emotet, Ursnif, SLoad, Adwind, LokiBot, MassLogger, Ave_Maria, AgentTesla, FormBook, Netwire

INDICE

==> 14 settembre 2020 => Emotet(7), SLoad(1), Ursnif(1), PWStealer(1), Adwind(1)

==> 15 settembre 2020 => Emotet(7), LokiBot(2)

==>
 16 settembre 2020 => Emotet(10), LokiBot(1), Ave_Maria(1)

==> 
17 settembre 2020 => Emotet(8), LokiBot(1), MassLogger(1), NetWire(1)

==> 18 settembre 2020 => Emotet(8), AgentTesla(1), FormBook(1)
             
==> Consulta le campagne del mese di Agosto/Settembre


Nella settimana corrente vi è stato un aumento delle campagne totali.
Da lunedì 14 settembre sono ripartite le campagne di malspam che veicolano il malware Emotet.
Ritorna il trojan banker "Ursnif", continuà però l'assenza dell'attore Hagga.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 179 le campagne che abbiamo monitorato, di cui 53 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
dal al
Week_34 22/08 28/08
Week_35 29/08 04/09
Week_36 05/09 11/09
Week_37 12/09 18/09


Nella settimana corrente il picco totale delle campagne è stato mercoledì 16 settembre con 45 campagne dove troviamo anche il picco delle campagne rivolte agli utenti italiani con 12 messaggi, come è evidenziato dal grafico riportato di seguito.




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 45,81% dei malware inviati via mail, seguito con il 18,44% di sample Delphi.
Il 27,37% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

EMOTET


Durante la settimana monitorata le campagne malspam di Emotet sono state distribuite da lunedì 14 settembre a venerdì 18 settembre.

Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana:

 
Nella settimana corrente le campagne di malspam di Emotet oltre al classico allegato DOC o Link sono state distribuite anche con allegati ZIP protetti da Password con all'interno il tipico file DOC.

Questa tecnica già sperimentata in passato viene utilizzata molto probabilmente per tentare di ridurre il blocco delle email da parte dei sistemi di AntiVirus ed AntiSpam.

Di seguito vediamo un esempio di email con allegato ZIP:



 
Scarica il file di testo degli IOC delle campagne Emotet.


14 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


Sload

 
 
Allegato_doc_02539260345.vbs
MD5E139D926DE4445624F2EC72CC1AE4693
Dimensione: 3817 Bytes
VirITTrojan.VBS.SLoad.CLA

All'interno dell'archivio compresso "Allegato_doc_02539260345.zip" è presente il file "Allegato_doc_02539260345.vbs" infetto dal password stealer SLoad

IOC:
E139D926DE4445624F2EC72CC1AE4693
s://innerearthartistry[.]com/ nerea/02539260345/map.jpg

Ursnif

 
 
inps1_754.xls
MD5CE5AF6DEE9C1E444EBE0965389B99ED5
Dimensione: 244224 Bytes
VirITX97M.Ursnif.CLA

[PAYLOAD URSNIF]
MD5A10412B880220330765F842C76631073
Dimensione: 276992 Bytes
VirITTrojan.Win32.Ursnif.CLA

Versione: 250154
Gruppo: 7127
Key: 10291029JSJUYNHG


Aprendo il file excel "inps1_754.xls" viene avviata una macro che scarica il malware Ursnif dal sito service.eftformotherissues[.]com e provvede ad eseguire il payload.

IOC:
CE5AF6DEE9C1E444EBE0965389B99ED5
A10412B880220330765F842C76631073
service.eftformotherissues[.]com/securezza.dll
web.fromtheeast[.]org

PWStealer

 
 
ricevuta_tnt.exe
MD5EAE356868A8A0D343BC2D327E0E19B4B
Dimensione: 863232 Bytes
VirITTrojan.Win32.PSWStealer.CLB

Il Password Stealer è scritto in C# e sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView
  • MessenPass
  • Remote Desktop PassView

IOC:
EAE356868A8A0D343BC2D327E0E19B4B
79.134.225[.]97
91.193.75[.]200

Adwind

 
Order1492020.jar
MD541E74B973E235696A5B3897F151EF13D
Dimensione: 630978 Bytes
VirITTrojan.Java.Adwind.CLB

All'interno dell'archivio compresso "Order1492020.arj" è presente il file "Order1492020.jar" infetto dal password stealer Adwind

IOC:
41E74B973E235696A5B3897F151EF13D
jbd22.linkpc[.]net


Torna ad inizio pagina
 


15 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


LokiBot

 
8ED4D900D86A08F5B8472AC000085804I.exe
MD5C14592338A7EE352A5671D4B4CEDF2F4
Dimensione: 714240 Bytes
VirITTrojan.Win32.LokiBot.CLC

All'interno dell'archivio compresso "8ED4D900D86A08F5B8472AC000085804I.iso" è presente il file "8ED4D900D86A08F5B8472AC000085804I.exe" infetto dal password stealer LokiBot

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang

IOC:
C14592338A7EE352A5671D4B4CEDF2F4
septxpm[.]xyz

LokiBot

 
IT 40634-QT-45631-REV,Pdf.exe
MD5A5CB4AF25F68E2AFC192F7E7C2363A26
Dimensione: 838656 Bytes
VirITTrojan.Win32.PSWStealer.CLD

All'interno dell'archivio compresso "IT 40634-QT-45631-REV,Pdf.gz" è presente il file "IT 40634-QT-45631-REV,Pdf.exe" infetto dal password stealer LokiBot

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang

IOC:
A5CB4AF25F68E2AFC192F7E7C2363A26
thernagictouch[.]com
 
 

16 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


LokiBot

 
2020189005229.exe
MD52651574694D5B1DF3912E113B5155A08
Dimensione: 679424 Bytes
VirITTrojan.Win32.PSWStealer.CLF

All'interno dell'archivio compresso "2020189005229.iso" è presente il file "2020189005229.exe" infetto dal password stealer LokiBot

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang

IOC:
2651574694D5B1DF3912E113B5155A08
septxpm[.]xyz

Ave_Maria

 
Oferta Bidakis SRL.doc
MD57CF99974E3C20C235F69885BC02269F8
Dimensione: 66481 Bytes
VirITTrojan.RTF.Dropper.CLG

ndaboski.exe
MD596FBD9A9474E666AA19CBC27C8280AD4
Dimensione: 817664 Bytes
VirITTrojan.Win32.PSWStealer.CLG

Aprendo il file word "Oferta Bidakis SRL.doc" e cliccando sull'immagine presente nella parte inferiore del documento, viene effetuato un collegamento al sito gooddns[.]ir scaricando il file eseguibile infetto dal password stealer Ave_Maria.

IOC:
7CF99974E3C20C235F69885BC02269F8
96FBD9A9474E666AA19CBC27C8280AD4
p://gooddns[.]ir/bobbyx/ndaboski.exe
178.170.138[.]163

17 settembre 2020

 Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


LokiBot

 
Ordine Nr.2013914_170920.exe
MD5AECA4A1B99EBD9847A81E1C14D2E1386
Dimensione: 649728 Bytes
VirITTrojan.Win32.PSWStealer.CLG

All'interno dell'archivio compresso "Ordine Nr.2013914_170920.iso" è presente il file "Ordine Nr.2013914_170920.exe" infetto dal password stealer LokiBot

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang

IOC:
AECA4A1B99EBD9847A81E1C14D2E1386
195.69.140[.]147

MassLogger

 
doc20200916100024.js
MD5089C18C9576FF8EAE748F8939EBE353F
Dimensione: 2690 Bytes
VirITTrojan.JS.Dwnldr.CLG

[PAYLOAD MASSLOGGER]
MD5BD952019E2FB08A69CC2465F1CEC1690
Dimensione: 10752 Bytes
VirITTrojan.Win32.PSWStealer.CKQ

All'interno dell'archivio compresso "doc20200916100024.R04" è presente il file "doc20200916100024.js" che attraverso powershell scarica dal sito "gsbc[.]gr/F12.jpg" in forma offuscata il Payload del Trojan Password Stealer MassLogger, una volta deoffuscato il malware viene caricato in memoria ed avviato.

Questa variante esfiltra i dati attraverso il server FTP: nankasa.com[.]ar

IOC:
089C18C9576FF8EAE748F8939EBE353F
BD952019E2FB08A69CC2465F1CEC1690
ftp://nankasa.com[.]ar
p://gsbc[.]gr/F12.jpg

NetWire

 
pagamento ME23188205 89898889049885885005055.exe
MD5D0B0100E060AFC6A8D7A9DFCDDD1CECA
Dimensione: 720904 Bytes
VirITTrojan.Win32.PSWStealer.CLG

IOC:
D0B0100E060AFC6A8D7A9DFCDDD1CECA
79.134.225[.]100
 
 

18 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


AgentTesla

  
TNT Express per 09063182020.exe
MD5A6BA9B51E55123F7D843AC8AB09FC9D1
Dimensione: 1140736 Bytes
VirITTrojan.Win32.AgentTesla.CLJ 

All'interno dell'archivio compresso "TNT Express per 09063182020.ace" è presente il file "TNT Express per 09063182020.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: myt5-aad1beefab42[.]qloud-c.yandex.net  -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

IOC:

A6BA9B51E55123F7D843AC8AB09FC9D1

FormBook


Puwglfx_Signed_.exe
MD5EF248FE8CCE82A6F0552CC11D076FA7C
Dimensione: 476680 Bytes
VirITTrojan.Win32.FormBook.CLJ 

All'interno dell'archivio compresso "Ordinazione d'acquisto.zip" è presente il file "Puwglfx_Signed_.exe" che esegue un collegamento al sito: https://cdn.discordapp.com/attachments/[..]/Puwgggg scaricando il payload malevolo sottoforma di file cifrato. Una volta decifrato il file eseguibile viene caricato in memoria ed avviato tramite il processo buono di Windows: "TapiUnattend.exe".

IOC:
EF248FE8CCE82A6F0552CC11D076FA7C
www.madamefiepatisserie[.]com


Consulta le campagne del mese di Agosto/Settembre

Vi invitiamo a consultare i report del mese di Agosto/Settembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
05/09/2020 = Report settimanale delle campagne italiane di Malspam dal 05 settembre al 11 settembre 2020
29/08/2020 = Report settimanale delle campagne italiane di Malspam dal 29 agosto al 04 settembre 2020
22/08/2020 = Report settimanale delle campagne italiane di MalSpam dal 22 agosto al 28 agosto 2020
15/08/2020 = Report settimanale delle campagne italiane di MalSpam dal 15 agosto al 21 agosto 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283