TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

30/09/2019 11:43:22 - 2019W39 Report settimanale => 28/09-04/10 2K19 campagne MalSpam target Italia

      
week39

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 28 settembre 2019 al 04 ottobre 2019: Emotet, Ursnif, FTCode, PSWStealer

INDICE

  ==> 30 Settembre 2019 => PSWStealer - Emotet
 
  ==>
01 Ottobre 2019 => Emotet - PSWStealer

  ==>
02 Ottobre 2019 => Emotet - FTCode - PSWStealer

  ==>
03 Ottobre 2019 => Emotet - Ursnif

  ==>
04 Ottobre 2019 => Emotet

 
==> Consulta le campagne del mese di Settembre


30 settembre 2019

Password Stealer

Lunedì 30 settembre 2019 il C.R.A.M. di TG Soft ha analizzato varie campagne di malspam, verso gli utenti italiani, che scaricavano dei Trojan Password Stealer. Qui di seguito verrà visualizzati alcuni degli esempi di queste mail con i relativi file scaricati.

L'oggetto della mail analizzata è " Copia della ricevuta " con relativa immagine:
 

All'interno del file zippato " INV55500073890001.09.2019.7z " è presente il payload del malware con le seguenti caratteristiche:

INV55500073890001.09.2019.exe
MD5: a93e0a63f45c54efef507ec5601cc02f
Dimensione: 1344512 Bytes
VirIT: Trojan.Win32.PSWStealer.BSP

IOC:
a93e0a63f45c54efef507ec5601cc02f
Torna ad inizio pagina

Un'altra email che distribuisce altro tipo di Password Stealer con oggetto " DOCUMENTI DI SPEDIZIONE PER LA SPEDIZIONE DI MERCI " visibile di seguito:
 

Come si può notare nei due allegati che sono presenti nella mail sono entrambi file estraibili anche se non hanno estensioni normalmente riconosciute " 20190930.bz2  - IMAGE_211078219917 JPG.IMG ". All'interno di entrambi file è presente lo stesso malware.

AWB 2004632618.exe
MD5: 778d7c9c528a86d0ffd0c84b86d646b0
Dimensione: 1003008 Bytes
VirIT: Trojan.Win32.PSWStealer.BSP

IOC:
778d7c9c528a86d0ffd0c84b86d646b0
Torna ad inizio pagina

Emotet

Sempre in data 30 settembre 2019 altra massiva campagna di malspam che veicola il malware Emotet, noto malware Bancario.
Qui di seguito uno degli esempi di email analizzata:


In allegato è presente un documento Word che contiene una MACRO che sfruttando un comando di powershell andrà a contattare uno dei cinque siti che si trovano nello script.

Dati_4_41835441.doc
MD5: 4aada6b3a921ad73b0cdc45bf8720b38
Dimensione: 220672 Bytes
VirIT: W97M.Downloader.BSP

nextreports.exe
MD5: 847d017e883b57c848cc2cf55f04c168
Dimensione: 503808 Bytes
VirIT: Trojan.Win32.Emotet.BSP


IOC:
4aada6b3a921ad73b0cdc45bf8720b38
847d017e883b57c848cc2cf55f04c168

s://goitsoluciones[.]com/wp-includes/bs6yyg888/
p://mevaembalagens[.]com/wp-admin/b5/
s://blog.dakkha[.]com/wp-content/5rg327/
s://www.ephemereparfum[.]com/---wp-content/languages/themes/b0285/
s://bedianmotor[.]com/cgi-bin/k8w4/
Torna ad inizio pagina

Genus

Altre campagne malspam che sono state analizzate in data 30 settembre 2019 dal C.R.A.M. di TG Soft visibile qui di seguito:

Oggetto della mail " Ordine ":

 

SKMBT_C758802265415.pdf.exe
MD5: 80c6e28ac136a1915601c0b68bff49c7
Dimensione: 1610752 Bytes
VirIT: Trojan.Win32.Genus.BSP

IOC:
80c6e28ac136a1915601c0b68bff49c7
Torna ad inizio pagina


Oggetto di un'altra mail analizzata " Contratto Genertel n. B711340_0301 ":

 



CTRA_124_347769701_E.exe
MD5: ba7d977152a5e3be6259fe4a65757c90
Dimensione: 1233408 Bytes
VirIT: Trojan.Win32.Genus.BSP

IOC:
ba7d977152a5e3be6259fe4a65757c90
Torna ad inizio pagina
 

01 ottobre 2019

Emotet

Campagna di malspam che veicola il Trojan Banker Emotet tramite l'apertura di un documento Word in allegato alla mail con un esempio di oggetto " I Nuove informazioni 01_10_2019 " del 01 ottobre 2019:
 

file 01 2019.doc
MD5: 45f6b51475509707e379f17a6bfe6abd
Dimensione: 136704 Bytes
VirIT: W97M.Downloader.MB

tabletpublish.exe
MD5: 0f1bad291775ba17f954bf5d46a66378
Dimensione: 675840 Bytes
VirIT: Trojan.Win32.Emotet.BSR


IOC
:
45f6b51475509707e379f17a6bfe6abd
0f1bad291775ba17f954bf5d46a66378

p://sysmobi.com/wp-admin/k7epo312/
p://panelfiberton.com/wp-admin/f942/
s://transporteselfenix.com/cgi-bin/s2qw2ui7/
s://qirqle.com/wp-includes/zy2f473/
p://aylaspa.com/8yntna/64uc1/
Torna ad inizio pagina

Genus

Tramite una finta richiesta di un ordine con oggetto " RICHIESTA DI ORDINE 57 " è stato effettuato un altro invio di malspam che veicola un'altra tipologia di malware.
 


Il file presente all'interno del file zippato " ORA_29219_2019_1_57.ace " è il seguente:

ORA_29219_2019_1_57.exe

MD5: ba7d977152a5e3be6259fe4a65757c90
Dimensione: 1233408 Bytes
VirIT: Trojan.Win32.Genus.BSP

IOC:
ba7d977152a5e3be6259fe4a65757c90
Torna ad inizio pagina


Altro malware distribuito sempre in data 01 ottobre 2019 tramite una finta email che sembra provenire da un noto trasportatore che ha come oggetto " Servizio DHLEXPRESS_DELIVERY " per la consegna di un presunto pacco.



All'interno del file zippato " DHL_0011838020473PDF.zip " possiamo trovare il payload del malware che ha le seguenti caratteristiche:

ww_outputAB10.exe
MD5: dc89aa442acb0af92e89d7465ba00f65
Dimensione: 970752 Bytes
VirIT: Trojan.Win32.Genus.BSS

IOC:
dc89aa442acb0af92e89d7465ba00f65

Torna ad inizio pagina

Password Stealer

Finto avviso di pagamento che sembra essere inviato da una nota banca italiana con oggetto "  Trasferisci notifica di pagamento ".
Esempio di email analizzata:

 

Payload presente all'interno del file zippato " Trasferimento-1220340109 R.E.F_SWIFT-copia.zip " che è in allegato alla mail è:

Trasferimento-1220340109 R.E.F_SWIFT-copia.exe
MD5: b070bc16705a8911861c7888f0b88229
Dimensione: 1230848 Bytes
VirIT: Trojan.Win32.PSWStealer.BSR

IOC:
b070bc16705a8911861c7888f0b88229

Torna ad inizio pagina
 

02 ottobre 2019

Emotet

Anche in data 02 ottobre 2019 i ricercatori del C.R.A.M. di TG Soft hanno analizzato un'altra campagna di malspam che veicola il Trojan Banker Emotet , qui di seguito un esempio di email contente un documento che se avviato andrà a scaricare il malware:


AVE8951802601831216212.doc
MD5: 39cd0a2d2dc164f21e76fd8eb3e401cf
Dimensione: 136704 Bytes
VirIT: W97M.Downloader.MB

tabletpublish.exe
MD5: 3aab9ef7ec7644b09d93f3b4b2a4aa1f
Dimensione: 196685 Bytes
VirIT: Trojan.Win32.Emotet.BSR


IOC:
39cd0a2d2dc164f21e76fd8eb3e401cf
3aab9ef7ec7644b09d93f3b4b2a4aa1f

p://www.dilandilan[.]com/wp-admin/l4zy_lntjocgxg-769120353/
p://www.cuisineontheroadspr[.]com/calendar/ziJXUCvH/
p://prettywoman-cambodia[.]com/wp-includes/MtyZSfokpt/
p://www.xmxazd[.]com/uqnyel/SsECOzyNT/
s://creationhappened[.]org/wp-content/a49upl43x7_8q6ahrcjbf-1/

FTCode

Una campagna massiva di malspam tramite account PEC analizzata dal C.R.A.M. di TG Soft che distribuisce il ransomware FTCode, esempio di email:



All'interno del file zippato è presente un documento Word che tramite una MACRO andrà a scaricare nel PC della vittima il ransmoware per la cifratura del PC stesso

Fattura-2019-649576.doc
MD5: 1ec6da644e96b17b7d72ab38bf80b2f8
Dimensione: 3145729 Bytes
VirIT: W97M.Downloader.BSN

IOC:
1ec6da644e96b17b7d72ab38bf80b2f8
p://home.southerntransitions[.]net/?need=9f5b9ee&vid=dpec2&53565
p://home.isdes[.]com/?need=6ff4040&vid=dpec2&
connect.simplebutmatters[.]com
31.214.157[.]3
185.158.248[.]151


PSWStealer

Sempre in data 02 ottobre 2019 abbiamo un'altra email di malspam che veicola un Password Stealer di seguito una mail di esempio analizzata:
 

Il file in allegato " Richiesta d' Offerta PQ19-01273.rar " contiene al suo interno il payload del malware con le seguenti caratteristiche:

Richiesta d' Offerta PQ19-01273.exe
MD5: a36aa733cf50b37aa897467d71287c9d
Dimensione: 962560 Bytes
VirIT: Trojan.Win32.PSWStealer.BSU


IOC
:
a36aa733cf50b37aa897467d71287c9d

03 ottobre 2019

Emotet

Anche giovedì 03 ottobre 2019 i ricercatori del C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware Emotet, qui di seguito viene riportato un campione dell'email:


D6204.doc
MD5: 7d6253f5e0d65bd9be12b71de31e4239
Dimensione: 147456 Bytes
VirIT: W97M.Downloader.BSV

tabletpublish.exe
MD5: f38618dac09346c2526d5ede60405f67
Dimensione: 131072 Bytes
VirIT: Trojan.Win32.Emotet.BSV

IOC:
7d6253f5e0d65bd9be12b71de31e4239
f38618dac09346c2526d5ede60405f67

p://www.n01goalkeeper[.]com/wp-content/t69/
p://www.combinedenergytech[.]com/wp-content/n6/
s://www.stewardtechnicalcollege[.]com/wp-includes/z3311/
s://superecruiters[.]com/wp-content/o2p55rh89356/
p://www.newuvolume2[.]com/wp-content/upgrade/g1z8jf7/

Ursnif

 

Campagna che distribuisce il Trojan Banker Ursnif tramite l'invio massimo di email che sembrano far pensare ad una notifica di atto da un presunto avvocato dove è necessario cliccare sul link per scaricarne una copia.



Al momento del click sul link si viene reindirizzati su un sito dove viene visualizzato di salvare un file zippato " Nuovo documento 12.zip " che al suo interno contiene un file VBS con lo stesso nome del file zippato. Se il file VBS viene eseguito andrà a scaricare il payload del malware Ursnif per infettare il PC e carpire i dati di accesso del malcapitato

Nuovo documento 12.vbs
MD5: 17863197c8efe2779ff51d009e9808ca
Dimensione: 3472257 Bytes
VirIT: Trojan.VBS.Dwnldr.BSV

VideoBoost.exe
MD5: 46a43c22d3cf698c2ebf95bd82687679
Dimensione: 193552 Bytes
VirIT: Trojan.Win32.Ursnif.BSV

Configurazione Ursnif
Gruppo ID: 7512
Versione: 300751
Chiave: Htr6bFer4Yc8fbsd

IOC:
17863197c8efe2779ff51d009e9808ca
46a43c22d3cf698c2ebf95bd82687679
p://freeslits[.]net/tzvwmeg?abc=116384
p://pacificbehavioral[.]com/pagig84.php
212.42.121.56
gonetplay[.]xyz
Torna ad inizio pagina

04 ottobre 2019

Emotet

Anche in data 04 ottobre 2019 i ricercatori del C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware Emotet, qui di seguito viene riportato un campione dell'email:



messaggio-2019.doc
MD5: 5690f468d42ee6339a89c711d7da2b70
Dimensione: 119296 Bytes
VirIT: W97M.Downloader.BSX

tabletpublish.exe
MD5: d03729fa545ad1cff136e574f88cdf1d
Dimensione: 183296 Bytes
VirIT: Trojan.Win32.Emotet.BSX


IOC:
5690f468d42ee6339a89c711d7da2b70
d03729fa545ad1cff136e574f88cdf1d

s://www.megaestereocalca[.]net/cgi-bin/b7c05794/
s://dymardistribuidora[.]com/npnf0j/89ifa667041/
p://grupocemx[.]com/wp-admin/693216/
s://www.novawebdesigns[.]com/germanmilitariatwo/wp-content/uoata252/
p://www.cours-theatre-anglais[.]com/wp-content/9aed37/

Torna ad inizio pagina
 

Consulta le campagne del mese di Settembre

Vi invitiamo a consultare i report del mese di Settembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

16/09/2019 => Report settimanale delle campagne italiane di malspam dal 16 al 20 settembre 2019
09/09/2019 => Report settimanale delle campagne italiane di malspam dal 07 al 13 settembre 2019
02/09/2019 => Report settimanale delle campagne italiane di MalSpam dal 31 agosto al 06 settembre 2019

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft


Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283