TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month Vir.IT eXplorer PRO dal 2016 Certificato ICSA Labs

Vir.IT eXplorer PRO dal 2016 Certificato VB100

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

21/09/2020 09:54:21 - 2020W38 Report settimanale= > 19-25/09 2K20 campagne MalSpam target Italia

       
week38

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 19 settembre al 25 settembre 2020: Emotet, Ursnif, FormBook, LokiBot, AgentTesla, Matiex, NanoCore, XpertRAT, Avaddon, Remcos

INDICE

==> 21 settembre 2020 => Emotet (7), Ursnif (1), FormBook (3), LokiBot (1)

==> 22 settembre 2020 => Emotet (13), Ursnif (1), AgentTesla (3), Matiex (1), NanoCore (1), XpertRAT (1)

==>
 23 settembre 2020 => Emotet (8), Ursnif (1), FormBook (2), LokiBot (1), AgentTesla (1), Matiex (1) Avaddon (1)

==> 
24 settembre 2020 => Emotet (7), Remcos (1), XpertRAT (1)

==> 25 settembre 2020 => Emotet(4), Ursnif (1), Remcos(1)
             
==> Consulta le campagne del mese di Agosto/Settembre


Nella settimana corrente vi è stata lieve diminuzione delle campagne totali.
Continuano le campagne che veicolano il malware Emotet ed il trojan banker "Ursnif", inoltre vi è stata una campagna del ransomware Avaddon.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 160 le campagne che abbiamo monitorato, di cui 60 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
dal al
Week_35 29/08 04/09
Week_36 05/09 11/09
Week_37 12/09 18/09
Week_38 19/09 25/09


Nella settimana corrente il picco totale delle campagne è stato mercoledì 23 settembre con 42 campagne di cui 15 italiane. Il picco delle campagne mirate ad utenti italiani è stato martedì 22 settembre con 20 campagne di malspam, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 45,00 % dei malware inviati via mail, seguito con il 16,88% di sample Delphi.
Il 30,63 % dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

EMOTET


Durante la settimana monitorata le campagne malspam di Emotet sono state distribuite da lunedì 21 settembre a venerdì 25 settembre.

Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana, il picco è stato di 512 HASH differenti il mercoledì 23 settembre:

 
Nella settimana corrente le campagne di malspam di Emotet oltre al classico allegato DOC o Link sono state distribuite anche con allegati ZIP protetti da Password con all'interno il tipico file DOC.

Questa tecnica già sperimentata in passato viene utilizzata molto probabilmente per tentare di ridurre il blocco delle email da parte dei sistemi di AntiVirus ed AntiSpam.
Durante la settimana sono state riscontrate email che utilizzano la tecnica di thread hijacking contenenti testi rubati da importanti Enti/Società Italiane come ad esempio:

 
Scarica il file di testo degli IOC delle campagne Emotet.


21 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


Ursnif

 
 
comunicato_507.xls
MD54DE5D8F817D99E2263F6DCB507703F21
Dimensione: 239616 Bytes
VirITX97M.Ursnif.CLK

[PAYLOAD URSNIF]
MD50C47D472A69E47A50F5C4C794E8C4376
Dimensione: 472064 Bytes
VirITTrojan.Win32.Ursnif.CLK

Versione: 250154
Gruppo: 7220
Key: 10291029JSJUYNHG


Aprendo il file excel "comunicato_507.xls" viene avviata una macro che scarica il malware Ursnif dal sito line.stopcollectionharassment[.]com e provvede ad eseguire il payload.

IOC:
4DE5D8F817D99E2263F6DCB507703F21
0C47D472A69E47A50F5C4C794E8C4376
web.kundertviolas[.]com
line.stopcollectionharassment[.]com

FormBook

 
 
TFSLIPGGDB.exe
MD5428640D114842B018C86B88B3CEC296F
Dimensione: 688640 Bytes
VirITTrojan.Win32.Formbook.CLK
IOC:
428640D114842B018C86B88B3CEC296F
regulars6[.]com

LokiBot

 
 
Ordine Nr.2013914_210920.exe
MD5CCA740CD1B2A012E9010E37F005D3FC6
Dimensione: 735232 Bytes
VirITTrojan.Win32.LokiBot.CLK

All'interno dell'archivio compresso "Ordine Nr.2013914_210920.iso" è presente il file "Ordine Nr.2013914_210920.exe" infetto dal password stealer LokiBot

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
IOC:
CCA740CD1B2A012E9010E37F005D3FC6
195.69.140[.]147

FormBook

 
HERE.exe
MD582E8A5857EC0868F665B9D4F33B01A3E
Dimensione: 706560 Bytes
VirITTrojan.Win32.PSWStealer.CLK

All'interno dell'archivio compresso "HERE.rar" è presente il file "HERE.exe" infetto dal password stealer FormBook.

IOC:
82E8A5857EC0868F665B9D4F33B01A3E
work-from-home-today[.]com

FormBook

 
HQj0akWCMIXsTnI.exe
MD5135AF5543953F21387E502E96366216D
Dimensione: 723968 Bytes
VirITTrojan.Win32.PSWStealer.CLL

All'interno dell'archivio compresso "Copy.rar" è presente il file "HQj0akWCMIXsTnI.exe" infetto dal password stealer FormBook.

IOC:
135AF5543953F21387E502E96366216D
italotranslations[.]com


Torna ad inizio pagina
 


22 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


Matiex

 
Spedizione.exe
MD56152CC01E287B42A241FAD46D3965A39
Dimensione: 736768 Bytes
VirITTrojan.Win32.PSWStealer.CLM

IOC:
6152CC01E287B42A241FAD46D3965A39
freegeoip[.]app

Ursnif

 
228042.xlsm
MD52CEFF8B0E8531386C6D064EE1DE609D7
Dimensione: 36064 Bytes
VirITX97M.Ursnif.CLM

[PAYLOAD URSNIF]
MD5D2C8A83ABA96FE1636A5904CA8D34704
Dimensione: 513024 Bytes
VirITTrojan.Win32.Ursnif.CLM

Versione: 250154
Gruppo: 4343
Key: 21291029JSJUXMPP

Aprendo il file excel "228042 .xlsm" viene avviata una macro che scarica il malware Ursnif dal sito s://pagamentif24online[.]com e provvede ad eseguire il payload.

IOC:
2CEFF8B0E8531386C6D064EE1DE609D7
D2C8A83ABA96FE1636A5904CA8D34704
pagamentif24online[.]com
gestioneacquistionline[.]com

AgentTesla

  
pagamento_Pdf.exe
MD5994C2B46C2CE88F0056AC51FE9201F7F
Dimensione: 749056 Bytes
VirITTrojan.Win32.PSWStealer.CLM

IOC:

994C2B46C2CE88F0056AC51FE9201F7F

AgentTesla

  
Ordine Nr.2013914_220920.exe
MD50F420201E23E57FD1600747D0812A6BC
Dimensione: 882668 Bytes
VirITTrojan.Win32.PSWStealer.CLM

All'interno dell'archivio compresso "Ordine Nr.2013914_220920.iso" è presente il file "Ordine Nr.2013914_220920.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: ww2.r2ceurope[.]com  -> 185.69.232[.]50 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@solivera[.]com

IOC:

0F420201E23E57FD1600747D0812A6BC

AgentTesla

  
tiD57vHCdRkIA1a.exe
MD59D0ECF5009084D5149A1E0769A86D0B9
Dimensione: 734208 Bytes
VirITTrojan.Win32.AgentTesla.CLN

All'interno dell'archivio compresso "Bonifico_2292020.ace" è presente il file "tiD57vHCdRkIA1a.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: iva8-6403930b9beb.qloud-c.yandex[.]net  -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

IOC:

9D0ECF5009084D5149A1E0769A86D0B9

NanoCore


quotation.scr
MD5E07AD4665291F37A1FBCEC72499477C8
Dimensione: 1428480 Bytes
VirITTrojan.Win32.PSWStealer.CLO

Window Security updating.exe
MD51B8519476CD561A77DB887FC385DFAA6
Dimensione: 207360 Bytes
VirITTrojan.Win32.DownLoader12.BSON

IOC:
E07AD4665291F37A1FBCEC72499477C8
1B8519476CD561A77DB887FC385DFAA6
tcp.ngrok[.]io

XpertRAT


BONIFICO 22 09 20.exe
MD5006C1733B1648A1DF9478E62D67A074C
Dimensione: 702976 Bytes
VirITTrojan.Win32.PSWStealer.CLO

Il file eseguibile è scritto in C# e sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView
  • MessenPass
  • Remote Desktop PassView

IOC:
006C1733B1648A1DF9478E62D67A074C
79.134.225[.]97
91.193.75[.]200
 
 

23 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


FormBook


PY454NMF.exe
MD5815AEDA075760AC7A383E0ABDD595139
Dimensione: 750592 Bytes
VirITTrojan.Win32.PSWStealer.CLO

All'interno dell'archivio compresso "PY454NMF.rar" è presente il file "PY454NMF.exe" infetto dal password stealer FormBook.

IOC:
815AEDA075760AC7A383E0ABDD595139
enargiapetroleum[.]com

FormBook


SLIP.exe
MD532CB2ED0BA80017C68EC3C95AA7A8E7F
Dimensione: 769024 Bytes
VirITTrojan.Win32.PSWStealer.CLO

All'interno dell'archivio compresso "SLIP.rar" è presente il file "SLIP.exe" infetto dal password stealer FormBook.

IOC:
32CB2ED0BA80017C68EC3C95AA7A8E7F
paintwithdrink[.]com

Ursnif


documento3_186.xls
MD513483096672AFD938B722D9DAC9480FC
Dimensione: 226304 Bytes
VirITX97M.Ursnif.CLO

[PAYLOAD URSNIF]
MD519A6785FE245B33B5B87091CC1D3A3FB
Dimensione: 118272 Bytes
VirITTrojan.Win32.Ursnif.CLO

Versione: 250154
Gruppo: 7221
Key: 10291029JSJUYNHG

Aprendo il file excel "documento3_186.xls" viene avviata una macro che scarica il malware Ursnif dal sito log.angelicabrown[.]com e provvede ad eseguire il payload.

IOC:
13483096672AFD938B722D9DAC9480FC
19A6785FE245B33B5B87091CC1D3A3FB
log.angelicabrown[.]com
web.citylimitshog[.]com

LokiBot


Ordine Nr.2013914 _230920.exe
MD5CFB35972EF93A36F93FB854C49A0AFC0
Dimensione: 719872 Bytes
VirITTrojan.Win32.LokiBot.CLT

All'interno dell'archivio compresso "Ordine Nr.2013914 _230920.iso" è presente il file "Ordine Nr.2013914 _230920.exe" infetto dal password stealer LokiBot.

IOC:
CFB35972EF93A36F93FB854C49A0AFC0
195.69.140[.]147

Matiex


Spedizione.exe
MD598ECC5C153B462672D73BA28570A5521
Dimensione: 950272 Bytes
VirITTrojan.Win32.PSWStealer.CLO

IOC:
98ECC5C153B462672D73BA28570A5521
freegeoip[.]app

AgentTesla


C.V.exe
MD5A5B799532B9C08C70FFC3EA3DD002AFD
Dimensione: 477184 Bytes
VirITTrojan.Win32.PSWStealer.CLO

All'interno dell'archivio compresso "C.V.ace" è presente il file "C.V.exe" infetto dal password stealer AgentTesla

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com  -> 208.91.199[.]224 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@slnowon[.]com

IOC:
A5B799532B9C08C70FFC3EA3DD002AFD

Avaddon


copia della citazione ufficiale.xls
MD523A02DE7E9BC2C7932622EAEFD74554F
Dimensione: 68096 Bytes
VirIT: X97M.Downloader.CLP

6CEA.exe
MD5B2713B4441E2FE12E9F0CDE90817A827
Dimensione: 1768792 Bytes
VirIT: Ransom.Win32.Avaddon.CLP

La mail contiene un link che redirige ad un falso sito dell'Agenzia delle Entrate (vedi immagine sotto) che invita a scaricare un file excel protetto da password.
Aprendo l'excel viane attivata una MACRO che provvede a scaricare il Payload del CryptoMalware Avaddon.
Il CryptoMalware Avaddon cifra i dati dell'utente e chiede un riscatto per la decifratura.
Il riscatto richiesto da pagare in BitCoin è di 10000 USD pari a 8.592 € pari a circa 0,94 Bitcoin (valuta del 25/09/2020), il prezzo raddoppierà se non pagato entro 48h.
 
 

IOC:
23A02DE7E9BC2C7932622EAEFD74554F
B2713B4441E2FE12E9F0CDE90817A827
C993B8D7540F36A300B5B68AA5BDFC31
gestiondecorreo[.]info
s://agenziaentrate[.]digital

 

24 settembre 2020

 Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


Remcos


QuotesInv09172020.exe
MD5EB6A4AAF60A0E49DAC519DA95D1777D9
Dimensione: 1087488 Bytes
VirITTrojan.Win32.Injector.CLR

All'interno dell'archivio compresso "QuotesInv09172020.iso" è presente il file "QuotesInv09172020.exe" infetto dal password stealer Remcos.

IOC:
EB6A4AAF60A0E49DAC519DA95D1777D9
incidencias6645.ddns[.]net
79.134.225.83


XpertRAT


24 09 20_BONIFICO_PDF.exe
MD528C81A40D4075719F8FB2F523B241F7F
Dimensione: 725504 Bytes
VirITTrojan.Win32.PSWStealer.CLR

Il file eseguibile è scritto in C# e sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView
  • MessenPass
  • Remote Desktop PassView

IOC:
28C81A40D4075719F8FB2F523B241F7F
79.134.225[.]97
91.193.75[.]200
 
 

25 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.

Ursnif

 
 
documento4_212.xls
MD513722BF07B3BFFBCFF459413A023A651
Dimensione: 223232 Bytes
VirITX97M.Ursnif.CLS

[PAYLOAD URSNIF]
MD52AF56C3DB87FDF4BB7C3DE1AC53D97B6
Dimensione: 146432 Bytes
VirITTrojan.Win32.Ursnif.CLS

Versione: 250154
Gruppo: 7223
Key: 10291029JSJUYNHG


Aprendo il file excel "documento4_212.xls" viene avviata una macro che scarica il malware Ursnif dal sito stats.idealfurnituregalleryny[.]com e provvede ad eseguire il payload.

IOC:
4DE5D8F817D99E2263F6DCB507703F21
0C47D472A69E47A50F5C4C794E8C4376
web.cindycrawfordgroup[.]com
stats.idealfurnituregalleryny[.]com

Remcos

 
 
Ricevuta di pagamento 87y954u88578989889899043908.exe
MD5D2392BFDC4626A25DFE69DEE628C923C
Dimensione: 1026560 Bytes
VirITTrojan.Win32.PSWStealer.CLS

All'interno dell'archivio compresso "Ricevuta di pagamento.rar" è presente il file "Ricevuta di pagamento 87y954u88578989889899043908.exe" infetto dal password stealer Remcos.

IOC:
D2392BFDC4626A25DFE69DEE628C923C
incidencias6645.ddns[.]net 
79.134.225[.]83
 


Consulta le campagne del mese di Agosto/Settembre

Vi invitiamo a consultare i report del mese di Agosto/Settembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
12/09/2020 = Report settimanale delle campagne italiane di Malspam dal 12 settembre al 18 settembre 2020
05/09/2020 = Report settimanale delle campagne italiane di Malspam dal 05 settembre al 11 settembre 2020
29/08/2020 = Report settimanale delle campagne italiane di MalSpam dal 29 agosto al 04 settembre 2020
22/08/2020 = Report settimanale delle campagne italiane di MalSpam dal 22 agosto al 28 agosto 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283