TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month Vir.IT eXplorer PRO dal 2016 Certificato ICSA Labs

Vir.IT eXplorer PRO dal 2016 Certificato VB100

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

04/01/2021 09:42:35 - 2021W01 Report settimanale= > 04-10/01 2K21 campagne MalSpam target Italia

       
week01

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 04 gennaio 2021 al 10 gennaio 2021: Emotet, Ave_Maria, FormBook

INDICE

==> 04 gennaio 2020 => Emotet (2), Ave_Maria (2), FormBook (1)

==>
05 gennaio 2020 => Emotet (7)

==> 08 gennaio 2020 => FormBook (1)

             
==> Consulta le campagne del mese di Dicembre


Nella settimana monitorata vi è stato un leggero aumento delle campagne totali, ma un calo di quelle mirate all'utenza italiana. La maggior parte delle campagne ha veicolato il malware Emotet.
Il Trojan Banker Ursnif non ha effettuato nessuna campagna rivolta ad utenza italiana, rimangono però presenti vari Password Stealer come ad esempio
FormBook ed AveMaria.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguarda le campagne scritte in italiano (con target Italia).
In questa settimana sono state 41 le campagne che abbiamo monitorato, di cui 13 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivisione dei periodi presi in considerazione:

Settimana
dal al
Week_50 12/12 18/12
Week_51 19/12 25/12
Week_52 26/12 01/01
Week_01 04/01 10/01


Nella settimana corrente il picco totale delle campagne si è riscontrato lunedì 04 gennaio con 13 campagne, il picco delle campagne rivolte ad utenza italiana invece è martedì 05 gennaio con 7 diverse campagne, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 60,98% dei malware inviati via mail, seguita con il 4,88% di sample WIN32.
Il 26,83% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware soprattutto il Trojan Emotet.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

EMOTET


Durante la settimana monitorata vi è stato anche il ritorno del malware Emotet, le campagne malspam sono state veicolate da lunedì 04 a martedì 05 gennaio.

Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne 
Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana:


Scarica il file di testo degli IOC delle campagne Emotet.

 

04 gennaio 2021

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


Ave_Maria

 
 
9BD5C885547L28B5M8674AC998445767I.exe
MD5BFAC25C88C4A83B79ADAF0A8AB4D8961
Dimensione: 699392 Bytes
VirITTrojan.Win32.Avemaria.CQW

All'interno dell'archivio compresso "9BD5C885547L28B5M8674AC998445767I.7z" è presente il file "9BD5C885547L28B5M8674AC998445767I.exe" infetto dal password stealer Ave_Maria.

IOC:
BFAC25C88C4A83B79ADAF0A8AB4D8961
 

FormBook

 
  
REQ670091261.exe
MD5B60584D1E39E2D6B29C7E2B76F5C3B6D
Dimensione: 238080 Bytes
VirITTrojan.Win32.FormBook.CQW

All'interno dell'archivio compresso "ORDINI.zip" è presente il file "REQ670091261.exe" infetto dal password stealer FormBook.

IOC:
B60584D1E39E2D6B29C7E2B76F5C3B6D
modernhomespa[.]com
dellvn[.]net


Ave_Maria

 
  
1200678547.exe
MD574CE48FAA89461F17645A47FEA1FE4CD
Dimensione: 800768 Bytes
VirITTrojan.Win32.Injector.CQW

All'interno dell'archivio compresso "120067854.7z" è presente il file "120067854.exe" infetto dal password stealer Ave_Maria.

IOC:
74CE48FAA89461F17645A47FEA1FE4CD

05 gennaio 2021

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.

08 gennaio 2021


FormBook

 
  
Confirm!!!..exe
MD50B9FE0B29DB5CAB7A0FC3899361EBDAA
Dimensione: 855040 Bytes
VirITTrojan.Win32.PSWStealer.CRB

All'interno dell'archivio compresso "Confirm!!!..rar" è presente il file "Confirm!!!.exe" infetto dal password stealer FormBook.

IOC:
0B9FE0B29DB5CAB7A0FC3899361EBDAA
shaoshanshan[.]com
efnew[.]com
charismayachts[.]com

 
 
 

Consulta le campagne del mese di Dicembre

Vi invitiamo a consultare i report del mese di Dicembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
26/12/2020 = Report settimanale delle campagne italiane di Malspam dal 26 dicembre 2020 al 03 gennaio 2021
19/12/2020 = Report settimanale delle campagne italiane di Malspam dal 19 dicembre al 25 dicembre 2020
12/12/2020 = Report settimanale delle campagne italiane di MalSpam dal 12 dicembre al 18 dicembre 2020
05/12/2020 = Report settimanale delle campagne italiane di MalSpam dal 05 novembre al 11 dicembre 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

UtilizzabilitÓ delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito pu˛ essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrÓ essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarÓ necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

SarÓ gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283