TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2018-08

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

27/02/2018 18:28:35 - Campagne malware spam del 27 febbraio 2018 via mail verso Italia

      
 
 
 

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft delle campagne malware diffuse via mail agli utenti italiani del 27 febbraio 2018

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a clickare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

INDICE

 


Campagna malware DHL

Famiglia malware: Ursnif
VirIT: Trojan.Win32.Ursnif.EI, Trojan.JS.Dropper.BHE

Descrizione
:
Qui di seguito si possono vedere due esempi di mail della campagna DHL

Oggetto: VS SPEDIZIONE DHL AWB 378938938 proveniente dalla GRAN BRETAGNA **AVVISO DI GIACENZA **

Caro Сlientе,
In аllеgato troverа una сomunicaziоne imроrtаnte a lei rivoltа di cui аttenderemо risсontro
entrо е non oltrе ventiquattro orе. Рer motivi di privасу dovra scaricare il documеnto аllegаto alla presentе.

Cordiali Saluti
DHL ITALIA
Phone: 3332312486 EХT 237718 | E-mаil: Kent Garner@dhl.cоm | Orariо pеrsоnalе: 09:00-17:00|
Kent Garner | Сustоmer Sеrvice Аdvisоr |  Exрress (Italy) srl |  
   


Oggetto
: Aggiornamento Informazioni Consegna DHL

Gеntile Сlientе,
In allеgato trovеra una comunicaziоne imроrtantе a lei rivoltа di cui аttеndеremo riscоntro
еntro е non oltrе 48 orе. Реr mоtivi di рrivaсу dovra scaricare il documеnto allеgato alla prеsentе.

Distinti Saluti
DHL Italiа
Telеfono: 3330569818 ЕXТ 833348 | E-mаil: Susie Wheeler@dhl.cоm | Оrаriо persоnale: 09:00-17:00|
Susie Wheeler | Сustоmer Sеrviсe Аdvisоr |  Ехpress (Italy) srl |    
 

Esempio di una mail malevola


clicca per ingrandire


Allegati:
L'email infetta contiene l'allegato:
Nome: VB.84750935.zip
MD5: D8056AF8C9EE9F5180469A4266627030
Dimensione: 24.263 byte

 
L'allegato zippato contiene al suo interno un file javascript:
Nome: VB.84750935.js
MD5: E9BABF6D78B72736EB0A34AA26F734B1
Dimensione: 48.653 byte

Il file javascript VB.84750935.js esegue il download e l'esecuzione del file:
Nome: 51169872.scr
MD5: F3F40468AE422174BCCD6A8CC929F232
Dimensione:  573.440 byte

clicca per ingrandire
 
Note:
Il malware 51169872.scr viene scaricato dal sito http://www[.]desiderioimbottiti[.]it/zi[.]php e salvato all'interno della cartella %temp% dell'utente, dopo la sua esecuzione si sposta nella cartella %appdata%/Microsoft/[cartella casuale].

Chiavi di registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[valore casuale]=%USERPROFILE%\APPDATA\ROAMING\MICROSOFT\[CARTELLA CASUALE]\NOMEFILE.EXE

Il malware scaricato come indicato precedentemente fa parte della famiglia Ursnif, un trojan banker con caratteristiche di password stealer, che è in grado di rubare le credenziali di accesso all'home banking , della posta elettronica, ftp, etc.


IOC:
 
MD5:
8042B400E34B8DC46143C034D45174EE
A10029FD3F096BDD2C480424F23D8613
E9BABF6D78B72736EB0A34AA26F734B1
D3DB0E164BDF98143CF59E9A9F2A52C8
BDD4B58822A3294C0C8662094B996F88
F3F40468AE422174BCCD6A8CC929F232

URL:
http://www[.]desiderioimbottiti[.]it/zi[.]php
Torna ad inizio pagina


Campagna malware "fatture"

Famiglia malware: Zeus/Panda
VirIT: X97M.Downloader.AR, Trojan.Win32.Banker.CKK

Descrizione:
L'email incriminata contenente il malware ha più oggetti e anche corpi dei messaggi diversi qui di seguito si possono vedere degli esempi: 
Oggetto: Re: fattura

Buongiorno,

allego la mia fattura

un Saluto e grazie

Oggetto
: bonifico fattura

Buongiorno,

puoi verificare che non mi risulta pagata la fattura

un Saluto e grazie

Oggetto
: Fattura 13

Buongiorno,

ti mando la fattura come da accordi

un Saluto e grazie



Esempio di una mail malevola presente nel pc


clicca per ingrandire
 


Allegati:
L'email infetta che è stata analizzata contiene l'allegato:
Nome: fattura_print_04_(info).xls
MD5: 04406F80BBB31321C90B5E74D5184031
Dimensione: 64.512 byte
Gli allegati malevoli hanno la seguente struttura di file "fattura_print_[numero]_([nome del destinatario della mail]).xls" come si può notare dal nostro allegato che abbiamo analizzato.
 
All'interno del file fattura_print_04_(info).xls è presente una macro visibile qui affianco, come si può notare nella riga 14 dell'immagine è visibile la scritta "Sub Workbook_Open()" che significa avvio automaticato di una macro all'apertura del file xls.
clicca per ingrandire

Note:
Questo permette alla macro di collegarsi al dominio https://freeflysky[.]tk/rens e scarica il malware nel desktop dell'utente con un nome casuale composto da [7 numeri] nel nostro caso il file è:

Nome: 6810876.exe
MD5: A2A3C3B29103B4B6C51F12BA38BD01B0
Dimensione: 352.256 byte
Data di compilazione: 27 febbraio 2018 02.09.33
Il file scaricato nel desktop viene poi eseguito e si sposta in una cartella casuale dentro a %userprofile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\[CARTELLA CASUALE]\1.0.2_0\css\fonts\iconmoon\NOMEFILE.EXE

Chiavi registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[NOMEFILE.EXE]=%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\[CARTELLA CASUALE]\1.0.2_0\css\fonts\iconmoon\NOMEFILE.EXE

Il malware fa parte della famiglia Zeus/Panda, un trojan banker con caratteristiche di password stealer, che è in grado di rubare le credenziali di accesso all'home banking , della posta elettronica, ftp, etc.


IOC:

MD5:
04406F80BBB31321C90B5E74D5184031
5D4ADD1B388FDE035E7FE75F1CBE7294
A2A3C3B29103B4B6C51F12BA38BD01B0
FB451DC692B8A551E0997CC8D1071444

URL:
https://freeflysky[.]tk/rens
Torna ad inizio pagina

Campagna "order confirmation and invoice 27/02/2018"

Famiglia malware: Adwind (JRAT)
VirIT: Trojan.Java.Adwind.BHE, Trojan.Java.Agent.IKB, Trojan.Win32.Agent.FBM, Trojan.Win32.Agent.FBD

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "order confirmation and invoice 27/02/2018".

Oggetto: Re:  order confirmation and invoice 27 02 2018.msg

Good day, We are the Customs Agent of Your Client. Please find enclosed draft order confirmation and Commercial Invoice and Packing List with our Business License Number and company profile.. Andrew Jenks Managing Director 4920 NW 165th Street Miami Lakes, Florida 33014 Office: 305-623-4453 Ext: 5635 Direct: 786-363-5653 Fax: 786-363-4376

Esempio di una mail malevola


clicca per ingrandire


Allegati:
L'email infetta contiene l'allegato:
Nome: order confirmation & invoice.jar
MD5: 58305B4662C0A3060BFB43599F9BE51E
Dimensione: 551.183 byte

 
 
Note:
Il file infetto  order confirmation & invoice.jar contiene il JRAT (Java Remote Access Trojan) chiamato Adwind, si connette ai seguenti domini:
  • vvrhhhnaijyj6s2m[.]onion[.]top
  • zeenex90[.]ddns[.]net (IPv6 0:0:0:0:0:ffff:4d30:1cc5 -> IPv4 77.48.28.197  - UDP - porta 9315)
scarica dal sito zeenex90[.]ddns[.]net all'interno della cartella %temp% dell'utente, i seguenti file:

Nome: _0.6745817352321884811698202597832288.class
MD5: 781FB531354D6F291F1CCAB48DA6D39F
Dimensione: 247.088 byte

Nome: Windows8110169272615220558.dll
MD5: 0B7B52302C8C5DF59D960DD97E3ABDAF
Dimensione: 46.592 byte

Nome: Windows28773266521064244.dll
MD5: C17B03D5A1F0DC6581344FD3D67D7BE1
Dimensione: 39.424 byte


Esegue il processo:
WMIC /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List
per ottenere la lista delle firme digitali dei drivers, informazioni che vengono poi inviate al server C2
zeenex90[.]ddns[.]net.

Il malware scaricato come indicato precedentemente fa parte della famiglia Adwind, un trojan scritto in java che funge da Remote Access Trojan, che è ingrado di fare spionaggio ed esfiltrazione dati.


IOC:
 
MD5:
58305B4662C0A3060BFB43599F9BE51E
781FB531354D6F291F1CCAB48DA6D39F
0B7B52302C8C5DF59D960DD97E3ABDAF
C17B03D5A1F0DC6581344FD3D67D7BE1

URL:
vvrhhhnaijyj6s2m[.]onion[.]top
zeenex90[.]ddns[.]net

Torna ad inizio pagina

Campagna "Re: New Order (Check & Revert) 27/02/2018 (UPDATED)"

Famiglia malware: Trojan Agent
VirIT: Trojan.DOC.Dropper.OE, Trojan.Win32.Genus.AJD

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "Re: New Order (Check & Revert) 27/02/2018 (UPDATED)".

Oggetto: Re: New Order (Check & Revert) 27/02/2018 (UPDATED)

Good Morning,


We would like you to kindly provide us with your best offer for these items.
Required details has been attached to this email.

Kindly note the following details:

1          Unit price for Each item
2          Payment terms
3          Gross Weight & Volume
4          Delivery period

Requesting your prompt response at the earliest


Thank you
 

Regards,

Kevin Kristen
Asst. Tender Coordinator
Energy & Infrastructure

Al-Fozan Enterprises(AEGTC)
T:+965 24914749-24914750
F:+965 24914751


Allegati:
L'email infetta contiene l'allegato:
Nome: DDT_63921022018.xls
MD5: A57A67CE7AAFCECFA7EB33DAF0CF90E0
Dimensione: 178.688 byte

  
Note:
Il file infetto DDT_63921022018.xls si collega al dominio http://emeconcontrols[.]com/med/praswe.exe e scarica praswe.exe che fa parte della famiglia dei Trojan Agent, malware che viene sfruttato anche per poter rendre

Nome: praswe.exe
MD5: 73C51383BC46B126722B18F4B58AB2CA
Dimensione: 634.368 byte

IOC:
 
MD5:
A57A67CE7AAFCECFA7EB33DAF0CF90E0
73C51383BC46B126722B18F4B58AB2CA

URL:
http://emeconcontrols[.]com/med/praswe.exe
Torna ad inizio pagina

Campagna "Fw: Payment Receipt Copy"

Famiglia malware: Pony
VirIT: Trojan.Win32.Pony.BGE

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "Fw: Payment Receipt Copy".

Oggetto: Fw: Payment Receipt Copy



cliccare per ingrandire


Allegati:
L'email infetta contiene l'allegato:
Nome: Scan0001.exe
MD5: 5D6AD33F74FB08EE49C2FA4F2EAAA1ED
Dimensione: 350.208 byte

Note:
Il file infetto Scan0001.exe appena viene eseguito si collega al sito tractvin[.]ml/zril/band/fre.php per scambiarsi informazioni e rimanere in attesa per effettuare operazioni nel computer della vittima.

IOC:
 
MD5:
5D6AD33F74FB08EE49C2FA4F2EAAA1ED

URL:
tractvin[.]ml/zril/band/fre.php
Torna ad inizio pagina

Campagna "Saldo Operazione - Rid del 26/02/2018"

Famiglia malware: RAT (Remote Access Trojan)
VirIT: Backdoor.Win32.RAT

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "Saldo Operazione - Rid del 26/02/2018"

Oggetto: Saldo Operazione - Rid del 26/02/2018

Gentile Punto Vendita autorizzato Western Union Retail Services Italy Srl,

In allegato il dati delle operazioni Western Union che Lei ha effettuato fino al 26/02/2018
Per qualsiasi informazione ci puo' contattare allo 02.67626600 (opzione 1 per Credito e Contabilita’ Generale).

La preghiamo di verificare con la sua banca che abbia capienza fondi.

La ringraziamo per la collaborazione e Le auguriamo un buon lavoro.

Cordiali saluti

Amministrazione W.U.R.S.I. Srl

Esempio di una mail malevola


cliccare per ingrandire


Allegati:
L'email infetta contiene l'allegato:
Nome: Saldo Operazione26022018.pdf.rar
MD5: FF3B073C440A996436C8987185901635
Dimensione: 599.355 byte

  
Note:
Il malware all'interno dell'allegato zippato si chiama support-Y3Jpc2dvbjg3QGdtYWlsLmNvbSAzMjMyMzIgMjAyMDIw.exe che fa parte della famiglia dei RAT malware che permettono a chi li ha creati di potersi collegare al computer della vittima per poter eseguire operazioni in remoto, tra le quali estrapolare informazioni del computer tra cui anche dati di accesso ai siti della banca, posta, ftp etc.

Nome: support-Y3Jpc2dvbjg3QGdtYWlsLmNvbSAzMjMyMzIgMjAyMDIw.exe
MD5: 9CB62845A91C4CA9001432096A0059BD
Dimensione: 1.695.848 byte

IOC:
 
MD5:
FF3B073C440A996436C8987185901635
9CB62845A91C4CA9001432096A0059BD


Torna ad inizio pagina

Campagna "payment"

Famiglia malware: PSWStealer
VirIT: Trojan.Win32.Spy.BAL

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "balance payment"

Oggetto: balance payment

Good Day,

Find the attched for the transfer application for the balance payment and
confirm if your bank details are correct so we can proceed with the transfer
today and send you the original swift copy today as instructed by your
partner.

Waiting for your urgent response.


Account officer

walaa.alhaj
Mediterranean Trading Shipping Co Ltd
13, Barriera Wharf, Valletta VLT 1971 Malta Tel +356 21 224664 / +356 21
222861 Mobile + 356 9949 3704 Fax +356 21 247595 Email :
walaa.alhaj@egyptchefs.com
Website: www.egyptchefs.com

Oggetto
: DHL PAYMENT
Dear Customer,


WE STILL HAVE NOT BEEN ABLE TO PROCESS THE PAYMENT SENT TO US BY YOUR
CUSTOMER.

PLEASE CONFIRM THE BANK DETAILS IN THE INVOICE BELOW TO ENABLE US PROCESS
YOUR PAYMENT.

WE ARE HAVING PROBLEMS WITH THE BANK DETAILS.

IT SEEMS INCORRECT REQUEST YOU TO PLEASE CHECK FOR RELEASE OF PAYMENT AT
EARLIEST.

WAITING FOR YOUR URGENT REPLY.

DOWNLOAD PAYMENT RECEIPT

© 2018 DHL Express | Customer Service

Esempio di una mail malevola


cliccare per ingrandire
 


Allegati:
L'email infetta contiene l'allegato:
Nome: balance payment.zip
MD5: F1AF0CAC709523B3D068D68008DE6B7A
Dimensione: 223.829 byte

  
Note:
All'interno dell'allegato è presente il malware balance payment.exe che fa parte della famiglia PSWStealer, un trojan banker che è in grado di rubare le credenziali di accesso all'home banking , della posta elettronica, ftp, etc.

Nome: balance payment.exe
MD5: 377715B20ED938963C485A3056B247B5
Dimensione: 274.432 byte

IOC:
 
MD5:
F1AF0CAC709523B3D068D68008DE6B7A
377715B20ED938963C485A3056B247B5

Torna ad inizio pagina

Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusion Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.

Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina





Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283