TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2018-08

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

02/03/2018 17:27:29 - Campagne malware spam del 02 marzo 2018 via mail verso Italia

      
 
 
 

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft delle campagne malware diffuse via mail agli utenti italiani del 02 marzo 2018

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a clickare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

INDICE

 


Campagna DHL

Famiglia malware: Ursnif
VirIT: Trojan.Win32.Ursnif.EK,
Trojan.JS.Dropper.AVO 

 Campagna DHL, ecco alcuni esempi delle mail incriminate:

Oggetto: ***BULK*** Info spedizione DHL Express

Egregiо clientе,
In аllеgato trovеra una сomuniсazione impоrtаnte a lei rivoltа di cui аttenderemо riscontrо
entro е non oltrе 24 orе. Рer mоtivi di privасу dovra scaricare il dоcumеnto аllеgato alla рresente.

Cordialmente
DHL Itаlia
Теlеfono: 3362013631 ЕХТ 232882 | E-mаil: Gerardo Mckenzie@dhl.cоm | Orario рersonale: 09:00-17:00|
Gerardo Mckenzie | Customеr Serviсe ADVISOR |  Еxрrеss (Italy) srl |    
        
 


Oggetto
: VS SPEDIZIONE DHL AWB 09837629 proveniente dalla GRAN BRETAGNA **AVVISO DI GIACENZA **

Egregio cliente,
In allеgаto troverа una cоmunicaziоne importantе a lei rivoltа di cui аttеnderеmo risсоntro
еntro е non oltrе ventiquattro orе. Рer mоtivi di рrivaсу dovra scaricare il dоcumentо аllеgаto alla presеnte.

Distinti Saluti
DHL IТALIA
Тelefоno: 3363854830 ЕXТ 311785 | E-mаil: Susan Rivera@dhl.cоm | Оrаrio persоnale: 09:00-17:00|
Susan Rivera | Сustomer Serviсе Аdvisor |  Еxрrеss (Italy) srl |  

Esempio di una mail malevola


clicca per ingrandire

Allegati:
L'email infetta contiene l'allegato:
Nome: BD.47580394.zip
MD5: DC2E0EDA6E54ED6712C8CCEEB9F6F0E5
Dimensione: 75.333 byte

 
L'allegato zippato contiene al suo interno un file .jse:
Nome: BD.47580394.jse
MD5: B7EC4459700D36E540C65F6618E6BE12
Dimensione: 152.954 byte

Il file javascript BD.47580394.jse esegue il download e l'esecuzione del file:
Nome: 75412796.scr
MD5: 931197F5387B515FCD2AD22C499BF9A6
Dimensione:  504.320 byte
 
Il malware 75412796.scr viene scaricato dal sito http://www[.]desiderioimbottiti[.]it/zi[.]php e salvato all'interno della cartella %temp% dell'utente, poi dopo la sua esecuzione si sposta nella cartella %appdata%/Microsoft/[cartella casuale].

E viene avviato automaticamente modificando la chiave di registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run [valore casuale] = %USERPROFILE%\APPDATA\ROAMING\MICROSOFT\[CARTELLA CASUALE]\NOMEFILE.EXE

Il malware scaricato come indicato precedentemente fa parte della famiglia Ursnif, un trojan banker con caratteristiche di password stealer, che è in grado di rubare le credenziali di accesso all'home banking , della posta elettronica, ftp, etc.
 
IOC:
 
MD5:
B7EC4459700D36E540C65F6618E6BE12
DC2E0EDA6E54ED6712C8CCEEB9F6F0E5
EF04318101FCDE031726497C966704B0
FB59473760A242B7932FC31F6B03FD50
931197F5387B515FCD2AD22C499BF9A6

URL:
http://www[.]desiderioimbottiti[.]it/zi[.]php
Torna ad inizio pagina


 


Campagna malware "Quotation Request"

Famiglia malware: Adwind
VirIT: Trojan.Java.Adwind.CN, Trojan.Java.Agent.IKB

Descrizione:
Esempio di email malevole
Oggetto: Atarfll Quotation Request 600089326_Spain 02.03.2018_delivery date

Buenos días,

Please find here enclosed picture sample Purchasing Order, kindly look through it.

We require you to provide us with a suitable quotation, and ETD.

We called your office several times, but can't get through

Thank you in advance. 

Gracias
 


Allegati:
L'email infetta che è stata analizzata contiene l'allegato:
Nome: Atarfll Quotation 600089326.jar
MD5: 7311870C59C9AD8063320885B4E52A7E
Dimensione: 550.821 byte

Note:
Il file allegato Atarfll Quotation 600089326.jar è comunemente chiamato JRAT (Java Remote Access Trojan) che fa parte della famiglia degli Adwind.

L'Adwind si collega al seguente dominio:
  • vvrhhhnaijyj6s2m[.]onion[.]top
  • (IPv6 0:0:0:0:0:ffff:7f00:1 porta: 7777)
scarica all'interno della cartella %temp% dell'utente, il seguenti file:

Nome: _0.57781180445230977973535348787706971.class
MD5: 781FB531354D6F291F1CCAB48DA6D39F
Dimensione: 247.088 byte

IOC:

MD5:
7311870C59C9AD8063320885B4E52A7E
781FB531354D6F291F1CCAB48DA6D39F


Torna ad inizio pagina


 


Campagna "Price Inquiry-293kb"

Famiglia malware: Injector
VirIT: Trojan.Win32.Injector.AVO

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "Price Inquiry-293kb"

Oggetto: Price Inquiry-293kb

Hello,

We sent you an order inquiry last week, but we did not receive any response from you regarding our order.

Attached is a copy of new order list. Please let me know the availability and your best prices of items and also attached is a payment copy for the previous order.
We will be waiting for your quotation.


Thank you & Best regards.

LINDA
SALES DEPARTMENT.
TEL.03915890-9 EXT. 102 FAX. 039154009
MOBILE: 039-1110286


Esempio di una mail malevola


clicca per ingrandire


Allegati:
L'email infetta contiene l'allegato:
Nome: Besselldt29100333.zip
MD5: B90E542A380054D7330A8E95C9AC4053
Dimensione: 299.160 byte

  
Note:
All'interno del file Besselldt29100333.zip è presente il malware Besselldt29100333.exe che fa parte della categoria dei Trojan.Injector, tipologia di malware che tenta di "iniettare" il proprio processo all'interno di un processo buono, così da cercare di rimanere nascosto per non farsi intercettare.

Nome
: Besselldt29100333.exe
MD5: A8DA47E1D9F884E9E83B69B319CECBED
Dimensione: 548.864 byte

IOC:
 
MD5:
B90E542A380054D7330A8E95C9AC4053
A8DA47E1D9F884E9E83B69B319CECBED


Torna ad inizio pagina


 


Campagna "balance payment"

Famiglia malware: MSIL
VirIT: Trojan.Win32.MSIL.AER

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "Ordine-09362 28-02-2018"

Oggetto: balance payment

Good Day,

Find the attached for the transfer application for the balance payment and
confirm if your bank details are correct so we can

proceed with the transfer today and send you the original swift copy today
as instructed by your partner.

Waiting for your urgent response.


Account officer,

Veronika Lehnertová

Chyba! Není zadaný název souboru.

Financial department

Babákova 2390/2

148 00 Praha 11
tel.:(+420) 241 093 230

e-mail:v.lehnertova@exim.cz

web:www.eximtours.cz

Esempio di mail malevola
 

Allegati:
L'email infetta contiene l'allegato:
Nome: bank details.zip
MD5: 6C44E06D59AB393DCB369B0D480FA323
Dimensione: 247.138 byte


Note:
All'interno del file bank details.zip è presente il malware DHLSOA03218.exe scritto in C# che utilizza anch'esso tecniche di injection per non farsi intercettare e poter effettuare varie operazioni sul computer della vittima.

Nome
: DHLSOA03218.exe
MD5: 03808666942457DBB691BE07343167E6
Dimensione: 294.912 byte

IOC:
 
MD5:
6C44E06D59AB393DCB369B0D480FA323
03808666942457DBB691BE07343167E6
Torna ad inizio pagina


 


Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusion Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.

Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina





Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283