TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2017-04

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

07/03/2018 11:56:45 - Campagne malware spam del 07 Marzo 2018 via mail verso Italia

      
 
 
 

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft delle campagne malware diffuse via mail agli utenti italiani del  07 marzo 2018

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a clickare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

INDICE

 


Campagna "New order!"

Famiglia malware: Adwind
VirIT: Trojan.Java.Adwind.ADB


Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "New order"

Oggetto: New order


Buongiorno,

Dear Mr,

 

Sirs,

Good morning. Thanks for your reply. ^^

We sent our new order(P/O SAT-18-014) by e-mail.

Please find the attached PURCHASE ORDER of P/O SAT-18-014.

Please send confirmation on or 13th, March. 2018.

 

Description  

PT-320-T01                       7EA

PT-10MLD-10                     2EA   

 

We look forward to hearing your good reply.

If you have any problem, please feel free to contact me by E-mail. 



With kind and best regards.



Esempio di una mail malevola


cliccare per ingrandire


Allegati:
Nome: SAT180313.jar
MD5: 1E1CB0AE838CAD992444F9B3317025FB
Dimensione: 555.653 byte
 
Note:
All'interno della mail è presente il file "SAT180313.jar" che dopo l'esecuzione agisce in questo modo:
  1.     Termina tutti i processi presenti che si riferiscono ad Antivirus o Antimalware Vari.
  2.     Avvia il processo: "%userprofile%AppData\Local\Temp\Retrive7343827147648436592.vbs".
  3.     Modifica il registro tramite il seguente comando: " regedit.exe /s %userprofile%\AppData\Local\Temp\OCQwXbPsua4899808332902748894.reg"
  4.     Scambia dati con il seguente indirizzo Ipv6:  localhost Porta: 7777.
  5.     Si collega con gli indirizzi elencati a fine articolo per lo scambio di dati.
Nome: SAT180313.jar
MD5: 1E1CB0AE838CAD992444F9B3317025FB

Dimensione
:
555.653 byte

IOC:

 
MD5:
1E1CB0AE838CAD992444F9B3317025FB
7F97F5F336944D427C03CC730C636B8F
C17B03D5A1F0DC6581344FD3D67D7BE1
0B7B52302C8C5DF59D960DD97E3ABDAF
URL:
localhost
vvrhhhnaijyj6s2m.onion.top
0:0:0:0:0:ffff:3e00:3a5e (62.0.58.5e.94) Porta: 443
0:0:0:0:0:ffff:5f8d:2bd9 (95.141.43.217) Porta: 7779




Campagna "BANK TRANSFER FORM"

Famiglia malware: Trojan.Injector
VirIT:  Trojan.Win32.Injector.ATT

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "BANK TRANSFER FORM"

Oggetto: BANK TRANSFER FORM

Dear,

 

 

We were instructed earlier by your client to help him remit your

outstanding

payment,cause he will be on vacation from 03/03/2018 to 06/04/2018

 

Please reconfirm your bank details asap in the attached Bank Transfer

Form

before we proceed to the bank for payment.

 

 

 

Thanks & Best Regards.

Bernard Galvan

General Manager


Esempio di una mail malevola


cliccare per ingrandire


Allegati:
Nome: BANK TRANSFER FORM201873.ace
MD5: 7792A36210492332E13DFD97D90DE84F
Dimensione: 286.572 byte
 
Note:
All'interno della mail è presente il file BANK TRANSFER FORM201873.ace che contiene il file eseguibile chiamato con lo stesso nome "BANK TRANSFER FORM201873.exe " una volta avviato si connetterà a: "http://18panels[.]info/juki/fre[.]php" ed invierà dei pacchetti contenenti varie informazioni del pc infetto. Il malware fa parte della famiglia degli Spyware o Stealer.

Nome: BANK TRANSFER FORM201873.exe
MD5
: 1BA466FAE82C9EB34208BB5B97C62C10

Dimensione: 487.424 byte

IOC:
 
MD5:
7792A36210492332E13DFD97D90DE84F
1BA466FAE82C9EB34208BB5B97C62C10
URL:
18panels[.]info/juki/fre.php
kbfvzoboss[.]bid/alien/fre.php
alphastand[.]trade/alien/fre.php
104.24.119.140





Campagna "Payment against your P.I 467301"

Famiglia malware: Trojan Generic
VirIT: Trojan.Win32.Genus.AXU

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "Payment against your P.I 467301"

Oggetto: Payment against your P.I 467301

i didn't receive your mail. I've called your Office by Phone but its not
going through and i don't have your mobile number.

Attach payment for this first Order Looking forward for your prompt reply.
 

Regards
Santhosh
Roys joseph I Sr. Sales Executive
Faisal Al Qatami Steel Trad. Co. (Al-Rai Branch)
P.O.Box: 23090 Safat, 13091 Kuwait
Tel: (965) 24735460 ; (965) 24735416
Mobile: (965) 97254467 ; Fax: (965) 24735461
E-Mail:    alrai@qatamisteel.net
Website: www.qatamisteel.com


Esempio di una mail malevola


cliccare per ingrandire


Allegati:
Nome: PaymentCopy_pdf.zip
MD5: 2FC699A0EC5026B466F79DA8E80FC6D3
Dimensione: 320.050 byte

  
Note:
All'interno dell'allegato è presente il file "PaymentCopy_pdf.zip" contenente "PaymentCopy_pdf.exe" che dopo l'esecuzione  infetta il pc della vittima.
Il malware appartiene alla famiglia degli "Injectors"

Nome: PaymentCopy_pdf.exe
MD5
: 3C8B7F1860724C2DE2F74F48597CF193

Dimensione: 483.328 byte


IOC:
 
MD5:
2FC699A0EC5026B466F79DA8E80FC6D3
3C8B7F1860724C2DE2F74F48597CF193

Campagna "Port agency appointment- MV Frontier Lodestar"

Famiglia malware: Trojan.Injector
VirIT: Trojan.Win32.Injector.AXU

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "Port agency appointment- MV Frontier Lodestar"

Oggetto: Port agency appointment- MV Frontier Lodestar

Dear Sir,

We are pleased to appoint your good company as agents for our vessel MV
FRONTIER LODESTAR which is expected to arrive your PORT on 19 March,2018 at
around AM HRS. Vessel will be discharging 90k MAC FINE IRON ORE as per
attached BL's and Vessel particulars attached.

We will appreciate if you could kindly advise us your best PDA to enable us
confirm agency.

Do let us know if you require any further information/documents from our
end.

Thanks & Regards


Steven tao ??


Esempio di una mail malevola


cliccare per ingrandire
 

Allegati:
Nome: scan_F4BC20F_pdf.gz
MD5: B223CD88F60851EA140B98573AF151AC
Dimensione: 231.499 byte
 
Note:
All'interno dell' allegato alla mail è opresente il file "scan_F4BC20F_pdf.exe" che una volta avviato infetta il pc della vittima.
Il malware appartiene alla famiglia degli "Injectors"
.

Nome: scan_F4BC20F_pdf.exe
MD5: 9D93351244E942C709707C327FD3173E

Dimensione: 487.424 byte


IOC:

 
MD5:
B223CD88F60851EA140B98573AF151AC
9D93351244E942C709707C327FD3173E








 

Campagna "TM Project Inquiry"

Famiglia malware: Trojan Generic
VirIT: Trojan.Win32.Genus.AXU

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "TM Project Inquiry"

Oggetto: TM Project Inquiry


Dear Sales Team,

We have in discussions the TM project with saudi Arabia Ministry of commerce and industry and according to the file attached, so
please send us the quotations accordingly and also some pictures will be helpful.

Thank you very much and best regards,

 

MOHAMMAD SAMIR KHAN

HEAD OF PROCUREMENT
EASTERN

Dammam Head Office:

Al-Manar Arabian Trading & Contracting Corp.

King Khalid Street, Near Dammam Central Hospital,

Opposite Carrefore Market

P.O. BOX 10257, Dammam-31433,

Dammam, Saudi Arabia

Tel:  +96613 – 851 – 7007

Fax: +96613 – 852 – 3881

Al-Hassa Branch

Hofouf

P.O. BOX 8531- Al-Hassa-S 1982, KSA
Tel: +96613 – 575 – 4805
Fax No: +96613 – 575 – 6648
CENTRAL

Riyadh Branch

King Abdul Aziz Street,Above Kawasaki Showroom,

P.O. BOX 19116, Riyadh-11435,

Riyadh, K.S.A

Tel: +96611 – 225 – 4519

Fax: +96611 – 225 – 4517
WESTERN

Jeddah Branch

Al-Sameer District Anqra street,

Al-Sameer Neighbourhood,

Jeddah, K.S.A

Tel: +96612 – 688–1772 / +96612 – 688 – 0331

Fax: +96612 – 688 – 0265

Tabuk Branch

Prince Abdul Aziz Street,

Al-Moroj District,

Against Al-Khozamy Palace,

Tabuk, K.S.A

Tel: +96614 – 432 – 0580
Prime Contact in the Event of Clarification Being Required:

Name: Saeed Mohd. Zahrani

Position: General Manager

Tel. No.: +96613 – 851 – 7007

FaxNo.: +96613 – 852 – 3881

Address: P.O. BOX 10257- Dammam -31433, K.S.A

e-Mail: info@manararabian.com




Esempio di una mail malevola


cliccare per ingrandire


Allegati:
Nome: TM Project Inquiry.ace
MD5: 16D593EAC631DCE07341AA1C0CAB129B
Dimensione: (243.818 byte)
 
Note:
All'interno dell'allegato "TM Project Inquiry.ace"  è presente il file "TM Project Inquiry.exe che tramite l'esecuzione infetta il Pc della vittima.
Agisce in questo modo:

  1. Stabilisce una connessione con la seguente pagina : "http://151.80.74[.]167/umeh/umeh[.]exe" e scarica il file "umeh.exe".
  2. Crea ed esegue il file: %Userprofile%\AppData\Local\Temp\[NUMERO CASUALE].bat
  3. Esegue "umeh.exe"

Nome: TM Project Inquiry.exe
MD5: 4FA44D2F6D8A6240A8583E0945052158

Dimensione: 331.776 byte


IOC:
 
MD5:
16D593EAC631DCE07341AA1C0CAB129B
4FA44D2F6D8A6240A8583E0945052158
URL:
http://151.80.74[.]167/umeh/umeh.exe




 

Campagna "Request for the submission of Technical Bid"

Famiglia malware: Trojan Generic
VirIT: Trojan.Win32.Genus.AXU

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "Request for the submission of Technical Bid"

Oggetto: Request for the submission of Technical Bid


Gents,                           

 

Please find herewith attached specification and RFQ  for AD DUQM GSS PROJECT. (Client: OGC) You are requested kindly submit your technical quote for the same.

 

All participating vendors shall be requested to submit the attached data sheet / TOC / RED FORM / VDRL duly filled up and stamped. Vendors who are not submitting the filled up data sheet / TOC / RED FORM / VDRL will be disqualified.

 

1.       AS PER ATTACHED REF. SPEC.: M1-047/16-5-019-4 REV 0

Terms & Conditions:

 

·         Please submit your Technical quotation/bid by email.

 

·         Please do not alter RFQ quantities. In case you are offering quantities different than RFQ Qty., Please mention in a separate column as "Offered Quantity".

 

·         Delivery period is the essence of the contract and as the materials are required for AD DUQM GSS PROJECT. Please quote your best delivery schedule.

 

·         Deviations from OGC specification, if any, shall be brought out clearly at the time of quoting.

 

·         The quotation shall be for materials strictly in accordance with the specifications, Inspection, Certification & Quality documentation in line with the requirement of OGC &  applicable Data Sheet (Non MESC items).

 

·         The last date for the technical bid submission shall be 15.03.2018. No further extension will be entertained thereafter. Hence please rush with your technical quote at the earliest on or before the closing of bid submission date.

 

·         Please quote the Enquiry Reference no. mentioned above in all correspondence related to this enquiry without fail.

 

Regards,

Immagine rimossa dal mittente. Description: ATE Emblem 1
           

Ketul Gandhi

Al Turki Enterprises L. L. C.

Address : P. O. Box 2803, P. C. 112, Ruwi, Oman.

Office : +968 24621200 EXT: 1165 Fax :+968 24590212
GSM : +968 98049160 Short-code : 1084

Web :www.alturki.com

Our new ATE (PDO) office address:

1st floor, Al Nab'a House, Way no. - 277, Bldg No. - 1240, Al Atta Street, Ghala Industrial, Muscat


Esempio di una mail malevola


cliccare per ingrandire


Allegati:
Nome: Technical_Specifications pdf..ace / M1-04716-5-019-4 REV 0 pdf..ace
MD5: 14ABBD0DD304498533F6657D99994FB9 / FEF68AC1B76087150506581C52A209E3
Dimensione: (243.356 byte)
 
Note:
La mail si presenta con due allegati ".ace" uguali conteneti lo stesso file eseguibile omonimo al suo contenitore.
All'interno dell'allegato analizzato "Technical_Specifications pdf..ace"  è presente il file "Technical_Specifications pdf.exe che dopo l'esecuzione infetta il Pc della vittima ed agisce in questo modo:
  1. Stabilisce una connessione con il seguente ip : "151.80.74[.]167/ogbu/ogbu[.]exe" e scarica il file "ogbu.exe".
  2. Crea ed esegue il file: %Userprofile%\AppData\Local\Temp\[NUMERO CASUALE].bat
  3. Esegue "ogbu.exe"


Nome: Technical_Specifications pdf.exe
MD5: 4C538FA36F7DEA5B2E201E88D6FEA37C

Dimensione: 331.776 byte


IOC:
 
MD5:
14ABBD0DD304498533F6657D99994FB9
FEF68AC1B76087150506581C52A209E3
4C538FA36F7DEA5B2E201E88D6FEA37C
URL:
151.80.74.167/ogbu/ogbu[.]exe




 

Campagna "Contract prolongation" / "DHL SHIPMENT 03-07-18"

Famiglia malware: Banker
VirIT: Trojan.Win32.Banker.ALW

Descrizione
:
Qui di seguito si può vedere un esempio di mail della campagna "Contract prolongation / DHL SHIPMENT 03-07-18"

Oggetto: Contract prolongation / DHL SHIPMENT 03-07-18


Dear Sir,

Please find new contract for the year 2018 in the attachment.

The wording of the Contract is the same as it was before.

In case you have no amendments, please send it back duly signed&stamped.

Regards.

 

Güneş Koç
Kalite Güvence Sorumlusu / Quality Assurance Associate

Altera Tıbbi Malzeme San. ve Tic. A. Ş. - a Meditera Group Company
T: +90 232 513 501 10 / Ext: 225 | F: +90 232 5103 51 14
A: İbni Melek OSB Mah. TOSBİ Yol 4 Sok. No: 29 Tire Organize Sanayi Bölgesi, Tire / İzmir / Turkey
E: GUNES.KOC@meditera.com.tr
W: www.mediteragroup.com

Click here for legal notice / Yasal uyarı için tıklayınız…
######################SECONDA MAIL#######################################
Dear Customer,

Attached is the Original Shipping documents as assigned to deliver to you.

Notification for shipment event group "Pick Up" for 08 Mar 18.

 

Best Wishes,
Nina Lin
Gateway Import Customs Clearance
DHL Express (China) Corp.
---------------------------------------------
T: 03-398-15805 | F: 03-399-25860
E:nina.lin@dhl.com | 0800-769-888



Esempio di una mail malevola


cliccare per ingrandire


Allegati:
Nome: ORIGINAL SHIPMENT DOCUMENT 03072018.zip / EMSTEC- Contract Draft 2018.zip
MD5: DA2B8843E9535ADCDEC1ECAC45CA0AC4 / D7C3A92617785DD30688BB5C7DB700D6
Dimensione: (577.262 byte)
 
Note:
All'interno dell'allegato "EMSTEC- Contract Draft 2018.zip"  è presente il file "EMSTEC- Contract Draft 2018.exe " , dall'analisi effettuata abbiamo riscontrato che il malware fa parte della famiglia dei Banker, questa tipologia di malware cerca di rubare le credenziali di accesso a siti come Home Banking, Posta elettronica, ftp e etc.


Nome: EMSTEC- Contract Draft 2018.exe
MD5
: DA2B8843E9535ADCDEC1ECAC45CA0AC4

Dimensione: (1.302.528 byte)


IOC:
 
MD5:
DA2B8843E9535ADCDEC1ECAC45CA0AC4
D7C3A92617785DD30688BB5C7DB700D6

 
Torna ad inizio pagina
 
 

Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
 
Torna ad inizio pagina


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.

Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina





Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283