Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 11 gennaio 2020 al 17 gennaio 2020: Emotet, TrickBot, SLoad, HawkEye, LokiBot, Ursnif

INDICE

==> 13 gennaio 2020 => PWStealer - HawkEye - LokiBot - SLoad - TrickBot

==> 14 gennaio 2020 => Emotet - PWStealer - LokiBot

==> 15 gennaio 2020 => Emotet - PWStealer - RAT

==> 16 gennaio 2020 => Emotet - LokiBot - Ursnif

==> 17 gennaio 2020 => Emotet - W97M.Downloader

==> Consulta le campagne del mese di Dicembre

13 gennaio 2020

PWStealer

Il malware sfrutta un software sviluppato da NirSoft chiamata "Mail PassView" per esfiltrare le password dai browser.

139 _BIFU _20_ordine_18001000300.exe

MD5: 7755e58f053e95084e7fa2155c2458fa
Dimensione: 2170368 Bytes

VirIT: Trojan.Win32.Genus.BXX

IOC:
7755e58f053e95084e7fa2155c2458fa

Torna ad inizio pagina

HawkEye

Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:

WebBrowserPassView
Mail PassView

DHL - AWB.exe
MD5: 0c4aad5498ec20cfbe2e80df748c70e2
Dimensione: 942080 Bytes
VirIT: Trojan.Win32.PSWStealer.BXX

IOC:
0c4aad5498ec20cfbe2e80df748c70e2

Torna ad inizio pagina

LokiBot

richiesta urgente di preventivo.exe
MD5: f85f0ab7aece4d94951b6c3942024984
Dimensione: 40960 Bytes
VirIT: Trojan.Win32.LokiBot.BXX

IOC:
f85f0ab7aece4d94951b6c3942024984

p://alphastand[.]trade/alien/fre.php
p://ifunanya[.]cf
p://ckav[.]ru

Torna ad inizio pagina

SLoad

sollecito-avviso-AI73128826370.vbs
MD5: 2fdc122e26388f5b76466b0d6df5869d
Dimensione: 8003 Bytes
VirIT: Trojan.VBS.SLoad.BXX

gONCdlpa.jpg
MD5: 90a69b23efb0a54393bf31120f5217fa
Dimensione: 187534 Bytes
VirIT: Trojan.PS.Sload.BXX

IOC:

2fdc122e26388f5b76466b0d6df5869d
90a69b23efb0a54393bf31120f5217fa

s://fbabob[.]com/doprena/AI73128826370.gif

Torna ad inizio pagina

TrickBot

fatturare_1052637.doc
MD5: 338883c959bcacf620cc089134149efb
Dimensione: 96475 Bytes
VirIT: W97M.TrickBot.BXY

0.7055475.jse
MD5: b997946a57ece6709efcb299bfffbe8e
Dimensione: 38638 Bytes
VirIT: Trojan.JS.Dwnldr.BXY

k9ah19bwb.exe
MD5: a44f9558755af01f502ca2892fbaa48d
Dimensione: 544992 Bytes
VirIT: Trojan.Win32.TrickBot.BXY

IOC:

338883c959bcacf620cc089134149efb
b997946a57ece6709efcb299bfffbe8e
a44f9558755af01f502ca2892fbaa48d

p://bbvaticanskeys[.]com/RED3.exe
IP: 94.23.64.40

Torna ad inizio pagina

14 gennaio 2020

Emotet

KXJYB21-20200114.doc
MD5: c04fa829e093f9bb088cdd7fd7594b19
Dimensione: 238061 Bytes
VirIT: W97M.Emotet.BXZ

titlewrap.exe
MD5: 60a64f8ae78910f0f0d3552da7c55aa6
Dimensione: 299120 Bytes
VirIT: Trojan.Win32.Emotet.BXZ

IOC:

c04fa829e093f9bb088cdd7fd7594b19
60a64f8ae78910f0f0d3552da7c55aa6

p://cg.hotwp[.]net/wp-admin/b56-cf7ycs7-853921/

p://parcerias[.]azurewebsites.net/wp-admin/sqTIPlE/

p://blog.51cool[.]club/wp-admin/ZKhdjM/

s://jewellink[.]com.au/wp-includes/1sih8lud-24ey29cny-8733215949/

p://de.offbeat[.]guide/de/tletvwd-me4oo90-62479195/

Torna ad inizio pagina

PWStealer

Il malware sfrutta un software sviluppato da NirSoft chiamata "Mail PassView" per esfiltrare le password dai browser.

DHL_FORM14PDF.exe
MD5: c510ef789a4b8d006b9a358f60e6dfd4
Dimensione: 1993216 Bytes
VirIT: Trojan.Win32.Genus.BXZ

IOC:
c510ef789a4b8d006b9a358f60e6dfd4

Torna ad inizio pagina

LokiBot

ordine d'acquisto urgente.exe
MD5: c4d9c33fcd465d62cdbf4d33f26c3243
Dimensione: 49152 Bytes
VirIT: Trojan.Win32.PSWStealer.BYA

IOC:

c4d9c33fcd465d62cdbf4d33f26c3243

p://alphastand[.]trade/alien/fre.php

p://kbfvzoboss[.]bid/alien/fre.php

p://unvacsth[.]tk

Torna ad inizio pagina

15 gennaio 2020

Emotet

9723229-1501.doc
MD5: 4bde69751c871e870acc06244c5ad625
Dimensione: 252147 Bytes
VirIT: W97M.Emotet.BYB

titlewrap.exe
MD5: a4e363b13ae74480aac7b37ad89142a2
Dimensione: 413777 Bytes
VirIT: Trojan.Win32.Emotet.BYB

IOC:
4bde69751c871e870acc06244c5ad625
a4e363b13ae74480aac7b37ad89142a2

s://demo.voolatech[.]com/360/yo12394/
p://vikisa[.]com/administrator/OMM4w/
s://snchealthmedico[.]com/software/FxbWe5q/
p://conilizate[.]com/Sitio_web/8PzLe0/
s://myevol[.]biz/webanterior/kid/

PWStealer

Il malware sfrutta un software sviluppato da NirSoft chiamata "Mail PassView" per esfiltrare le password dai browser.

DHL_FORM14PDF.exe

MD5: 9ba276472c0a8323f944e420326b8f7e
Dimensione: 1965568 Bytes
VirIT: Trojan.Win32.PSWStealer.BYB

IOC:

9ba276472c0a8323f944e420326b8f7e

Torna ad inizio pagina

RAT

Il malware usa un software legittimo di controllo remoto chiamato "AnyPlace Control" per avere l'accesso alla macchina della vittima.

Guida per aggiornare la password in Powertransactpdf.exe

MD5: d0be060925ed29629568ffa1aeed766c
Dimensione: 1265475 Bytes

VirIT: Trojan.Win32.PSWStealer.BYB

IOC:

d0be060925ed29629568ffa1aeed766c

Torna ad inizio pagina

16 gennaio 2020

LokiBot

Ordine di acquisto NO-2019-11000192.exe
MD5: 68cc73e510676a085f89b3ab281f6d58
Dimensione: 1398784 Bytes
VirIT: Trojan.Win32.PSWStealer.BYD

IOC:
68cc73e510676a085f89b3ab281f6d58

p://vlkl.xyz
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php

Torna ad inizio pagina

Emotet

FTT_S-687590.doc
MD5: 451ee501fb457db2c99dfd3a64a598ea
Dimensione: 249362 Bytes
VirIT: W97M.Downloader.BXZ

titlewrap.exe
MD5: 88e6ae40de967a1885e11917c98a4be3
Dimensione: 639236 Bytes
VirIT: Trojan.Win32.Emotet.BYD

IOC:

451ee501fb457db2c99dfd3a64a598ea
88e6ae40de967a1885e11917c98a4be3

p://taobaoraku[.]com/wp-content/MMGngia/

s://nguyenminhthong[.]xyz/wp-content/cxqSK70/

p://holodrs[.]com/gstore/T5zC3111/

p://compta[.]referansy.com/cgi-bin/lU12/

s://www.clinicacrecer[.]com/home/oKT/

Ursnif

Nuovo documento 1.vbs
MD5: da75c6cdd78aa95ddfa3087a94d2faab
Dimensione: 4251482 Bytes
VirIT: Trojan.VBS.Dwnldr.BYF

ColorPick.exe
MD5: e6a6652cdde0881776712c33fb0f44e7
Dimensione: 262144 Bytes
VirIT: Trojan.Win32.Ursnif.BYF

Versione: 21711

Gruppo: 5153

Key: 10291029JSJUYNHG

IOC:

da75c6cdd78aa95ddfa3087a94d2faab
e6a6652cdde0881776712c33fb0f44e7

p://understudyvideo[.]com/akls?ymc=75426

p://searchfundanalyst[.]com/uedqoyl?wjjkd=14456
p://understudyknowledge[.]com/paginfo83.php

link.philippeschellekens[.]com

Torna ad inizio pagina

17 gennaio 2020

Emotet

fattura 1676741.doc
MD5: 35f98ab946f48323fbf47fa8bc439d7e
Dimensione: 258504 Bytes
VirIT: W97M.Emotet.BYF

titlewrap.exe
MD5: 845694ec8fb3b958f21d5ef518305571
Dimensione: 340079 Bytes
VirIT: Trojan.Win32.Emotet.BYF

IOC:
35f98ab946f48323fbf47fa8bc439d7e
845694ec8fb3b958f21d5ef518305571

p://jayracing[.]com/996tt/UNID/

p://josemoo[.]com/Vs7x8hyVEL/

p://rcmgdev44[.]xyz/cgi-bin/rossN32/

p://itconsortium[.]net/images/0o32239/

p://demu[.]hu/wp-content/UWal/

Torna ad inizio pagina

W97M.Downloader

fa00014413104.doc
MD5: 4e065592040179258a9316f7535b0b57
Dimensione: 680448 Bytes
VirIT: W97M.Downloader.BYG

swedfr0.jse
MD5: ffafce2a4aa98bec59a1b065691336dd
Dimensione: 312720 Bytes
VirIT: Trojan.JS.Dwnldr.BYG

IOC:

4e065592040179258a9316f7535b0b57
ffafce2a4aa98bec59a1b065691336dd

Torna ad inizio pagina

Consulta le campagne del mese di Dicembre

Vi invitiamo a consultare i report del mese di Dicembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

04/01/2020 = Report settimanale delle campagne italiane di Malspam dal 04 gennaio al 10 gennaio 2020
21/12/2019 = Report settimanale delle campagne italiane di Malspam dal 21 dicembre al 27 dicembre 2019
14/12/2019 = Report settimanale delle campagne italiane di MalSpam dal 14 dicembre al 20 dicembre 2019

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Selected news item is not available in the requested language.

Italian language proposed.

2020W02 Report settimanale= > 11-17/01 2K20 campagne MalSpam target Italia

INDICE

13 gennaio 2020

PWStealer

Il malware sfrutta un software sviluppato da NirSoft chiamata "Mail PassView" per esfiltrare le password dai browser.

139 _BIFU _20_ordine_18001000300.exe

MD5: 7755e58f053e95084e7fa2155c2458fa
Dimensione: 2170368 Bytes

VirIT: Trojan.Win32.Genus.BXX

IOC:
7755e58f053e95084e7fa2155c2458fa

HawkEye

LokiBot

SLoad

TrickBot

14 gennaio 2020

Emotet

PWStealer

LokiBot

15 gennaio 2020

Emotet

PWStealer

RAT

16 gennaio 2020

LokiBot

Emotet

Ursnif

17 gennaio 2020

Emotet

W97M.Downloader

Consulta le campagne del mese di Dicembre

Vir.IT eXplorer PRO is certified by the biggest international organisation:

Necessary 5

Necessary (for use and access to specific areas) 2

Selected news item is not available in the requested language.

Italian language proposed.

2020W02 Report settimanale= > 11-17/01 2K20 campagne MalSpam target Italia

INDICE

13 gennaio 2020

PWStealer

Il malware sfrutta un software sviluppato da NirSoft chiamata "Mail PassView" per esfiltrare le password dai browser. 139 _BIFU _20_ordine_18001000300.exe MD5: 7755e58f053e95084e7fa2155c2458fa Dimensione: 2170368 Bytes VirIT: Trojan.Win32.Genus.BXX IOC: 7755e58f053e95084e7fa2155c2458fa

HawkEye

LokiBot

SLoad

TrickBot

14 gennaio 2020

Emotet

PWStealer

LokiBot

15 gennaio 2020

Emotet

PWStealer

RAT

16 gennaio 2020

LokiBot

Emotet

Ursnif

17 gennaio 2020

Emotet

W97M.Downloader

Consulta le campagne del mese di Dicembre

Vir.IT eXplorer PRO is certified by the biggest international organisation:

Il malware sfrutta un software sviluppato da NirSoft chiamata "Mail PassView" per esfiltrare le password dai browser.

139 _BIFU _20_ordine_18001000300.exe

MD5: 7755e58f053e95084e7fa2155c2458fa
Dimensione: 2170368 Bytes

VirIT: Trojan.Win32.Genus.BXX

IOC:
7755e58f053e95084e7fa2155c2458fa