|
|
|
28/12/2020 14:37:32 - 2020W52 Report settimanale= > 26/12 2K20 - 03/01 2K21 campagne MalSpam target Italia
Nella settimana monitorata vi è stato un calo delle campagne totali e anche quelle mirate all'utenza italiana. La maggior parte delle campagne ha veicolato il malware Emotet.
Il Trojan Banker Ursnif non ha effettuato nessuna campagna rivolta ad utenza italiana, rimangono però presenti vari Password Stealer come ad esempio FormBook, AgentTesla ed AveMaria.
La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguarda le campagne scritte in italiano (con target Italia).
In questa settimana sono state 34 le campagne che abbiamo monitorato, di cui 19 sono scritte in lingua italiana.
Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivisione dei periodi presi in considerazione:
Settimana
|
dal |
al |
| Week_49 |
05/12 |
11/12 |
| Week_50 |
12/12 |
18/12 |
| Week_51 |
19/12 |
25/12 |
| Week_52 |
26/12 |
01/01 |
Nella settimana corrente il picco totale delle campagne si è riscontrato nei primi giorni della settimana lunedì 28, martedì 29 e mercoledì 30 dicembre con 10 campagne, il picco delle campagne rivolte ad utenza italiana invece è martedì 29 dicembre con 8 diverse campagne, come è evidenziato dal grafico riportato di seguito:
La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 44,12% dei malware inviati via mail, seguita con il 2,94% di sample VB.
Il 52,94% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware soprattutto il Trojan Emotet.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.
Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:
*Nella categoria JAR sono compresi i file JNLP
Durante la settimana monitorata vi è stato anche il ritorno del malware Emotet, le campagne malspam sono state veicolate da lunedì 28 a mercoledì 30 dicembre.
Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.
In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana:
Scarica il file di testo degli IOC delle campagne Emotet.
Emotet
Vedi il paragrafo principale sul malware Emotet all'inizio.
FormBook
trasferimento bancario pdf.exe
MD5: D20BB165E9DE43B7083964F4F0D8A337
Dimensione: 677614 Bytes
VirIT: Trojan.Win32.FormBook.CQP
All'interno dell'archivio compresso "trasferimento bancario pdf.zip" è presente il file "trasferimento bancario pdf.exe" infetto dal password stealer FormBook.
IOC:
D20BB165E9DE43B7083964F4F0D8A337
northernfloorco[.]com
mmcaraccessories[.]com
straitskids[.]com
lookilouk[.]com
haiyizzl[.]com
terapiasolidariapr[.]com
boldbossempire[.]com
abbottenvironmentalservices[.]com
craftsman[.]sucks
0596zpw[.]com
germin8bio[.]com
mrwhiskeynerd[.]com
radicalisland[.]com
getmoneytowork[.]com
AgentTesla
NBY09846435345.exe
MD5: 04D048948E5DAB6B31A4904EAA12E1B0
Dimensione: 981504 Bytes
VirIT: Trojan.Win32.AgentTesla.CQP
All'interno dell'archivio compresso "NBY09846435345.gz" è presente il file "NBY09846435345.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
|
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
|
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
|
La mail con le credenziali rubate viene inviata attraverso il server smtp: gator4188.hostgator[.]com -> 108.167.189[.]13 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@smasesores.com[.]mx
IOC:
04D048948E5DAB6B31A4904EAA12E1B0
Ave_Maria
1180135587.exe
MD5: 280DD93D3C611719F4E5A3B6E7357F94
Dimensione: 1005056 Bytes
VirIT: Trojan.Win32.Avemaria.CQQ
All'interno dell'archivio compresso "1180135587.7z" è presente il file "1180135587.exe" infetto dal password stealer Ave_Maria.
IOC:
280DD93D3C611719F4E5A3B6E7357F94
Emotet
Vedi il paragrafo principale sul malware Emotet all'inizio.
Emotet
Vedi il paragrafo principale sul malware Emotet all'inizio.
Emotet
Vedi il paragrafo principale sul malware Emotet all'inizio.
Consulta le campagne del mese di Novembre/Dicembre
Vi invitiamo a consultare i report del mese di Novembre/Dicembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
Utilizzabilità delle informative e delle immagine in esse contenute
Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.
Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito
"Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"
|
|
