TG Soft Software House - Vir.IT eXplorer: l'AntiVirus, AntiSpyware e AntiMalware ITALIANO
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2018-08

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

21/11/2018 09:28:21 - Campagna Malspam "PasswordStealer" utilizzando servizi di file-sharing legali.

      
 
 
 

Analisi realizzata dai ricercatori del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft di alcune mail che diffondono il malware Trojan PasswordStealer in data  20 Novembre 2018

Attraverso l'invio massivo di mail fraudolente, attraverso un approccio sistemico che sfrutta gli approcci dell'ingegneria sociale con l'obiettivo dei cyber-criminali di indurre il malcapitato ricevente potenziale vittima all'apertura degli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio

INDICE

Se hai ricevuto un'email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft seguento la faceli procedura illustrata nel link: Come inviare mail sospette

False Mail diffondono Trojan "Password Stealer"


Come si diffondono:

In data 20 Novembre 2018 sono state riscontrate diverse e-mail sospette utilizzate per indurre, con l'inganno, il ricevente ad effettuare il download di file malevoli sfruttando servizi di file-sharing legittimi come:
  • OneDrive;
  • MediaFire;

Le mail recapitate oltre ad avere un breve testo nel quale ci viene notificata una fattura o un documento di spedizione merce, contiene una piccola immagine (miniatura dell'anteprima del documento in allegato) che dovrebbe rappresentare il documento ricevuto.
Cliccando sull'immagine non si viene reindirizzati come ci si aspetterebbe al documento ma al download di un archivio compresso che può essere, come nei casi da noi analizzati, .rar oppure .zip


Descrizione
:
Le mail in questione sono state recapitate in data 20 Novembre 2018

Esempio 1 di email analizzate:

Oggetto: Slip di pagamento

 immagine_1
 
ingrandire immagine

Torna ad inizio pagina

Nella prima e-mail analizzata viene utilizzato il servizio di filesharing MediaFire per recapitare l'infezione, infatti cliccando sulla fantomatica anteprima del documento si viene reindirizzati al seguente sito :

https[:]//www[.]mediafire[.]com/file/ba485jpdbbeshan/Invoice_month_11-19-2018.rar/file

da cui viene scaricato l'archivio Invoice month 11-19-2018.rar contenente il file Invoice month 11-19-2018.exe, il solo formato del file dovrebbe farci scattare un campanello d'allarme sulla bontà del file. Cercando di aprire il file Invoice month 11-19-2018.exe sembra non accadere nulla ma proprio in quel momento si dà il via all'infezione.

Nome: Invoice month 11-19-2018.exe
MD5:
0121749970D78D2F2E993529E630BBB2
Dimensione:
598360 Bytes
Data di compilazione:
24/02/2005 - 04:53:22
Famiglia malware
: Password Stealer
VirIT: Trojan.Win32.Injector.BCN

All'avvio esso resta in attesa qualche secondo per poi riavviarsi e copiarsi cambiando nome nella seguente cartella di sistema :
  • C:\Users\[utente_pc]\AppData\Roaming\Install\Host.exe
Dopo essersi copiato ed avviato nella nuova posizione viene creata la chiave di registro di sistema per garantire così la persistenza nel sistema ed essere attivo ogni volta che avviamo il pc.

La chiave è la seguente :
  • [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] :
"NetWire"="C:\Users\[utente_pc]\AppData\Roaming\Install\Host.exe"

Dopo essersi assicurato la persistenza all'interno del pc, il malware va ad eseguire una scansione del sistema alla ricerca di informazioni da programmi come:
  • Microsoft Outlook
  • Mozilla Firefox
  • Mozilla Thunderbird
  • SeaMonkey
  • Internet Explorer
dopo di che contatta il sito gbam1985[.]hopto[.]org con indirizzo IP
185[.]244[.]30[.]102 su porta 3369 per scambiarsi le informazioni carpite e infine viene creata la cartella Logs nella directory di sistema %appdata%/Roaming :
  • C:\Users\[utente_pc]\AppData\Roaming\Logs\
dove all'interno andremo a trovare il file con nome uguale alla data del giorno [GG - MM - AAAA] all'interno del quale sarà contenuto un registro di tutto ciò che è stato esfiltrato dal PC / Server.




Esempio 2 di email analizzata:

Oggetto: SHIPPING DOCUMENTS (ETA 29/11/2018)

 immagine_2
 
Nella seconda e-mail analizzata viene utilizzato il servizio di filesharing OneDrive per recapitare l'infezione, andando a cliccare sull'anteprima del documento, si verrà indirizzati verso il sito:

https[:]//onedrive[.]live[.]com/download?cid=43D6934B8391AB43&resid=43D6934B8391AB43%21108&authkey=ACOI-kydEDoN92k

dal quale viene effettuato il download dell'archivio SCAN_INV_0001524.zip che al suo interno contiene il payload SCAN_INV_0001524.exe dal quale, se eseguito, si scatena l'infezione.

Nome: SCAN_INV_0001524.exe
MD5:
12E8B2DA2D2DF16F0F61968DC5419F0F
Dimensione: 618760 Bytes
Data di compilazione: 25/02/2005 - 05:54:23
Famiglia malware
: Password Stealer NanoCore
VirIT: Trojan.Win32.PSWStealer.BCM

Dopo essere stato avviato il malware resta qualche secondo in attesa, per riavviarsi e ritornare poi in esecuzione.
Viene quindi creata una cartella in %appdata%/Roaming con nome il valore della chiave di registro MachineGuid che essendo diverso per ogni installazione di Windows permette all'organizzazione Cyber-Criminale di catalogare in maniera precisa i dati esfiltrati.

Nel nostro caso abbiamo la seguente cartella :
  • C:\Users\[utente_pc]\AppData\Roaming\C69802BC-D96A-48DA-ABE6-0E5E19AC8613
La cartella creata verrà in seguito popolata con altri file e sottocartelle ma, prima di fare ciò, il malware cerca di garantirsi la persistenza nella macchina facendo una copia di se stesso e cambiando nome nella seguente posizione:
  • C:\Program Files\DSL Monitor\dslmon.exe
Dopo essersi copiato nella nuova posizione crea la chiave di registro :

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] :
"DSL Monitor"="C:\Program Files\DSL Monitor\dslmon.exe"

cosi facendo il malware sarà in grado di partire all'avvio del pc indipendentemente dall'utente loggato.

Oltre a scrivere la chiave nel registro provvede anche a creare due task in C:\windows\system32\tasks in modo che se l'utente dovesse cancellare la chiave dal registro o la stessa dovesse corrompersi per un qualsiasi motivo il malware troverà sempre il modo di eseguirsi, i due task sono:
  • DSL Monitor
  • DSL Monitor Task
la diversità nei due task sta nel fatto che DSL Monitor  va ad eseguire l'avvio del file originale dalla cartella in cui è stato salvato il file mentre DSL Monitor Task va ad eseguire l'avvio del malware dalla cartella C:\Program Files\DSL Monitor\dslmon.exe, ovvero da dove si è copiato.

Fatto ciò il malware apre una connessione verso l'host goodweb[.]ddns[.]net che ha indirizzo IP 181[.]215[.]247[.]156 su porta 1190 dove invierà le informazioni esfiltrate dal pc infetto.

La cartella creata in precedenza viene popolata con i seguenti file:
  • catalog.dat
  • run.dat
  • settings.bak
  • settings.bin
  • storage.dat
  • task.dat 
che contengo le informazioni esfiltrate, e sempre all'interno della stessa cartella, troviamo una sottocartella Logs/[Utente_pc] al cui interno troviamo un file KB_7550421.dat che contiene informazioni su cosa sia stato digitato e dove (funzione di Keylogging).


Lo scopo di queste tipologie di malware è quello di esfiltrare il maggior numero di informazioni sensibili tra le quali:
  • Password di indirizzi e-mail;
  • Login e Password dei conti bancari;
  • Login e Password dei principali Social Network come anche quelle delle principali piattaforme e-commerce.
Chi orchestra questi attacchi, ha come primario obiettivo quello di sfruttare l'e-mail delle vittime per espandere la botnet di diffusione dell'attacco mentre, per quanto riguarda gli account bancari, l'obiettivo è quello di tentare veri e propri furti di denaro. L'esfiltrazione delle login e password dei social network permette il furto dell'identità.



IoC (Index of Compromission - Indici di Compromissione)

MD5:
0121749970D78D2F2E993529E630BBB2
12E8B2DA2D2DF16F0F61968DC5419F0F

URL:
https[:]//www[.]mediafire[.]com/file/ba485jpdbbeshan/Invoice_month_11-19-2018.rar/file
https[:]//onedrive[.]live[.]com/download?cid=43D6934B8391AB43&resid=43D6934B8391AB43%21108&authkey=ACOI-kydEDoN92k
gbam1985[.]hopto[.]org
goodweb[.]ddns[.]net

IP:

185[.]244[.]30[.]102[:]3369
181[.]215[.]247[.]156[:]1190
 


Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (https://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possibile/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.

Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina





Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283