Selected news item is not available in the requested language.

Italian language proposed.

Close

12/10/2020
09:59

2020W41 Report settimanale= > 10-16/10 2K20 campagne MalSpam target Italia

Malware veicolati attraverso le campagne: Emotet, Ursnif, AgentTesla, MassLogger, SLoad, Remcos, FormBook, PWStealer
       
week41

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 10 ottobre al 16 ottobre 2020: Emotet, Ursnif, AgentTesla, MassLogger, SLoad, Remcos, FormBook, PWStealer

INDICE

==> 11 ottobre 2020 => SLoad (1)

==> 12 ottobre 2020 => Remcos (1), MassLogger (1), SLoad (1)

==> 13 ottobre 2020 => AgentTesla (1), PWStealer (1)

==> 14 ottobre 2020 => Emotet (8), Ursnif (1), AgentTesla (2)

==> 15 ottobre 2020 => Emotet (11), AgentTesla (1), FormBook (1)

==> 16 ottobre 2020 => Emotet (8), AgentTesla (1), FormBook (1)
             
==> Consulta le campagne del mese di Settembre/Ottobre

Nella settimana corrente vi è stato un aumento delle campagne totali.
Ritorna il trojan Emotet e continuano le campagne del trojan banker "Ursnif" accompagnato da una varietà di altri PasswordStealer.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 145 le campagne che abbiamo monitorato, di cui 40 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
 dal al
Week_38 19/09 25/09
Week_39 26/09 02/10
Week_40 03/10 09/10
Week_41 10/10 16/10


Nella settimana corrente il picco totale delle campagne è stato mercoledì 14 con 35 campagne. Giovedì 15 ottobre è stato il picco delle campagne rivolte ad utenza italiana con 13 campagne, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 51,03 % dei malware inviati via mail, seguito con il 12,41% di sample Delphi.
Il 24,83 % dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

EMOTET


Durante la settimana monitorata le campagne malspam di Emotet è stato veicolato da mercoledì 15 ottobre.

Dopo la pausa Emotet ha modificato il template dei DOC malevoli, come da immagine di seguito:



 

Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana:


Scarica il file di testo degli IOC delle campagne Emotet.


11 ottobre 2020

SLoad

 
 
doc03573300245.vbs
MD59A47F24466FA02E4D4FE7ABA066B2A15
Dimensione: 7727 Bytes
VirITTrojan.VBS.Dwnldr.CMO

All'interno dell'archivio compresso "doc03573300245.zip" è presente il file "doc03573300245.vbs" infetto dal password stealer SLoad.

IOC:
9A47F24466FA02E4D4FE7ABA066B2A15
eliasvidalphotography[.]com


Torna ad inizio pagina
 

12 ottobre 2020

Remcos

 
 
Files 224643, 4565577.exe
MD5D19AC81E5A2B0797649878CB25A05912
Dimensione: 636568 Bytes
VirITTrojan.Win32.PSWStealer.CMO
All'interno dell'archivio compresso "inps circolare 115 2020.iso" è presente il file "inps circolare 115 2020.exe" infetto dal password stealer Remcos.

IOC:
D19AC81E5A2B0797649878CB25A05912
194.127.179[.]245

MassLogger

 
 
ordinazione d acquisto 00027744.exe
MD5C602F7597BEDFE557A08BFD89EF8B343
Dimensione: 916992 Bytes
VirITTrojan.Win32.PSWStealer.CMO
All'interno dell'archivio compresso "ordinazione d acquisto 00027744.r00" è presente il file "ordinazione d acquisto 00027744.exe" infetto dal password stealer MassLogger v3.0.7563.31381.

IOC:
C602F7597BEDFE557A08BFD89EF8B343
ftp.persisiciptautama[.]com

SLoad

 
 
doc11603910016.vbs
MD5CAD0C6F613E59FA1776013700E899A66
Dimensione: 6983 Bytes
VirITTrojan.VBS.Dwnldr.CMQ

All'interno dell'archivio compresso "doc11603910016.zip" è presente il file "doc11603910016.vbs" infetto dal password stealer SLoad.
 
IOC:
CAD0C6F613E59FA1776013700E899A66
hoagtechhydroponics[.]com


Torna ad inizio pagina

13 ottobre 2020

AgentTesla

 
 
fatture n. 3092.exe
MD5FB578D84592D7A3BB5C51B88F815C6B2
Dimensione: 696320 Bytes
VirITTrojan.Win32.PSWStealer.CMQ
All'interno dell'archivio compresso "fatture n. 3092.zip" è presente il file "fatture n. 3092.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com  -> 208.91.198[.]143 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@edichem[.]com

IOC:
FB578D84592D7A3BB5C51B88F815C6B2

PWStealer

 
Fattura di pagamento per il mese di ottobre-2020.exe
MD57D4EC196A92EBC6C1071FF815DF14417
Dimensione: 1084416 Bytes
VirITTrojan.Win32.PSWStealer.CMR

IOC:
7D4EC196A92EBC6C1071FF815DF14417
 
 
 

14 ottobre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.

AgentTesla

 
 
fattura.exe
MD50D6A5BD4966CA3ACD0B201209F3718FC
Dimensione: 695296 Bytes
VirITTrojan.Win32.PSWStealer.CMS
All'interno dell'archivio compresso "fattura.arj" è presente il file "fattura.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: sas2-1cbd504aaa99.qloud-c.yandex[.]net  -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@adanateknikkimya[.]com

IOC:
0D6A5BD4966CA3ACD0B201209F3718FC

AgentTesla

 
 
EVTIgq3111FK7ld.exe
MD5E7688A8292F6BE59D759A817A574F519
Dimensione: 871836 Bytes
VirITTrojan.Win32.PSWStealer.CMS
All'interno dell'archivio compresso "Ordine 2020_1704.zip" è presente il file "EVTIgq3111FK7ld.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: iva8-b81aeb0c8234.qloud-c.yandex[.]net  -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

IOC:
E7688A8292F6BE59D759A817A574F519

Ursnif 


documentazione1_973.xls
MD507CC6D8444361083195B672F8735E48D
Dimensione: 204228 Bytes
VirITX97M.Ursnif.CMS
[PAYLOAD URSNIF]
MD5724F70D56215484778C96C265D2A2CD8
Dimensione: 196608 Bytes
VirITTrojan.Win32.Ursnif.CMS
Versione: 250161
Gruppo: 7229
Key: 10291029JSJUYNHG


Aprendo il file excel "documentazione1_973.xls" viene avviata una macro che scarica il malware Ursnif dal sito link.tomshobbies[.]com e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: windowsclassic[.]co

IOC:
07CC6D8444361083195B672F8735E48D
724F70D56215484778C96C265D2A2CD8
link.tomshobbies[.]com
windowsclassic[.]co

15 ottobre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


AgentTesla

 
 
Contratto20201015-IT005IT009.042.exe
MD5E06AB40DF06F8975831072A356405BE7
Dimensione: 586752 Bytes
VirITTrojan.Win32.PSWStealer.CMU
All'interno dell'archivio compresso "Contratto20201015-IT005IT009.042.7z" è presente il file "Contratto20201015-IT005IT009.042.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server FTP: Pure-FTPd -> 192.185.52[.]193 Porta: 21
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@st05[.]net

IOC:
E06AB40DF06F8975831072A356405BE7

Formbook

 
 
order pdf.exe
MD5ED5E4F59D6834EC51983E6900E1F4002
Dimensione: 1565696 Bytes
VirITTrojan.Win32.PSWStealer.CMU

All'interno dell'archivio compresso "Contratto20201015-IT005IT009.042.7z" è presente il file "Contratto20201015-IT005IT009.042.exe" infetto dal password stealer FormBook.

IOC:
ED5E4F59D6834EC51983E6900E1F4002
fruitupshop[.]com
agroworkshop[.]com
leadershipdefraternite[.]com
iamprettysad[.]com
mansiobok3[.]info
cankardeslermoda[.]com
ethmob[.]com
amnestylsbu[.]info
useae[.]com
leadinginstylepodcast[.]com
caibo1688[.]com
lucidmotors[.]asia
erotichypnotheapist[.]com
watchdoglogistics[.]com
militaryhomedecisions[.]com

16 ottobre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


AgentTesla

 
 
Contratto 20201016IT005IT009.042.exe
MD590F6836E1C6E8C2F2B7B2A563D6B8B07
Dimensione: 677376 Bytes
VirITTrojan.Win32.PSWStealer.davedere
All'interno dell'archivio compresso "Contratto 20201016IT005IT009.042.7z" è presente il file "Contratto 20201016IT005IT009.042.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server FTP: Pure-FTPd -> 192.185.52[.]193 Porta: 21
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@st05[.]net

IOC:
90F6836E1C6E8C2F2B7B2A563D6B8B07

Formbook

 
 
Confirm!!!!!!.exe
MD5CDFDC04096C1DBCE1D6F405BC6684D15
Dimensione: 1072128 Bytes
VirITTrojan.Win32.PSWStealer.davedere

All'interno dell'archivio compresso "Confirm!!!!!!.rar" è presente il file "Confirm!!!!!!.exe" infetto dal password stealer FormBook.

IOC:
CDFDC04096C1DBCE1D6F405BC6684D15
regulars6[.]com
 

Consulta le campagne del mese di Settembre/Ottobre

Vi invitiamo a consultare i report del mese di Settembre/Ottobre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
03/10/2020 = Report settimanale delle campagne italiane di Malspam dal 03 ottobre al 09 ottobre 2020
26/09/2020 = Report settimanale delle campagne italiane di Malspam dal 26 settembre al 02 ottobre 2020
19/09/2020 = Report settimanale delle campagne italiane di MalSpam dal 19 settembre al 25 settembre 2020
12/09/2020 = Report settimanale delle campagne italiane di MalSpam dal 12 settembre al 18 settembre 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: