Selected news item is not available in the requested language.

Italian language proposed.

Close

27/01/2020
08:56

2020W04 Report settimanale= > 25-31/01 2K20 campagne MalSpam target Italia

Malware veicolati attraverso le campagne: Emotet, Ursnif, Sload, LokiBot, Adwind, Worm, PWStealer
       
week42

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 25 gennaio 2020 al 31 gennaio 2020: Emotet, Ursnif, Sload, LokiBot, Adwind, Worm, PWStealer

INDICE

 ==> 27 gennaio 2020 => Emotet, SLoad, LokiBot, Adwind, Worm, Ursnif
 
 ==> 28 gennaio 2020 => Emotet, LokiBot, PWStealer

 ==> 29 gennaio 2020 => Emotet, PWStealer, LokiBot

 ==> 30 gennaio 2020 => LokiBot, PWStealer

 ==> 31 gennaio 2020 => LokiBot, Emotet
 
 ==> Consulta le campagne del mese di Gennaio


27 gennaio 2020

SLoad


copia-cortesia-fattura-numero-JY85380555158.vbs
MD5: 02fbf778abc4345d1f6e56bb876217ef
Dimensione: 9459 Bytes
VirITTrojan.VBS.SLoad.BYR

qSSyZGdd.jpg
MD5: d89343d7ca79d4706bab23b5ccc871c2
Dimensione: 133759 Bytes
VirIT: Trojan.VBS.SLoad.BYR

IOC:
02fbf778abc4345d1f6e56bb876217ef
d89343d7ca79d4706bab23b5ccc871c2

s://beststaffusa[.]com/bar/JY85380555158.jpg
 


Torna ad inizio pagina

LokiBot


Conferma pagamento KOVO 23 gennaio.exe
MD5: 721e12d8bafef038cb648d7cc15fc7fe
Dimensione: 73728 Bytes
VirIT: Trojan.Win32.PSWStealer.BYR

IOC:
74ba0dbe694df934016c8b5777c7d176
6e7603cfba86c4360eca38f5ecce33ab

s://uwachukwuu[.]cf
s://alphastand[.]trade/alien/fre.php
s://kbfvzoboss[.]bid/alien/fre.php
 

Emotet


SEINK6J_012720_{FROM.DOMAIN-1-UP}.doc
MD5: 13596a36d02d2c930e77ba1e9ea865d6
Dimensione: 155239 Bytes
VirIT: W97M.Emotet.BYR

pdeftpurge.exe
MD5: 4b700f417558c91b40d9e5ff2285c4d6
Dimensione: 110664 Bytes
VirITTrojan.Win32.Emotet.BYS

IOC:
13596a36d02d2c930e77ba1e9ea865d6
4b700f417558c91b40d9e5ff2285c4d6

s://www.speedpassitalia[.]it/zhofrq/bCHcIAXtR/
p://www.charliemoney[.]com.br/q8daa5/jfez3qid-1jnc-33996/
s://www.redmoonexport[.]in/redmoon/ySQbEVsk/
p://recentgovtjobcircular[.]com/52ezg2o/TwjeWJ/
p://dineka[.]lt/pastas/TNYdbPezs/

Adwind


R-HERC GRADNJA.jar
MD5: b982e821b31781116d4f46c2340aae6f
Dimensione: 384593 Bytes
VirITTrojan.Java.Adwind.BYR

IOC:
b982e821b31781116d4f46c2340aae6f

s://addahost.ddns[.]net

Worm


FT0-85813950.doc
MD5: cc2d0b937856531609cc24d8629e2533
Dimensione: 644096 Bytes
VirITW97M.Downloader.BYR

hh_9.2.1_.jse
MD5: 30e0d1848266fba0dfde16a022d9c6af
Dimensione: 305089 Bytes
VirIT: Worm.JS.Agent.BYR

IOC:
cc2d0b937856531609cc24d8629e2533
30e0d1848266fba0dfde16a022d9c6af

 

Ursnif


Lettera di sollecito di pagamento 170202.xls
MD5: 066d275fe1a1ebaad6814f7c9a40eb06
Dimensione: 92672 Bytes
VirITX97M.Ursnif.BY

(PAYLOAD URSNIF)
MD5: 302de2130b3d1b93af9a46ca86493920
Dimensione: 180224 Bytes
VirITTrojan.Win32.Ursnif.BYT


Versione: 214112
Gruppo: 2052
Key: 10291029JSJUXMPP


IOC:
066d275fe1a1ebaad6814f7c9a40eb06

p://desaidles[.]fun
p://agenziadellentrate[.]space
p://legogogogo[.]pro
p.//hammersummer[.]com
p://zaletuf[.]pro
p://kolonimalosi[.]pw

Torna ad inizio pagina 
 

28 gennaio 2020

PWStealer


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

500980721217700821_28012020.exe
MD5: ac202bb37acbda922cfbbd774412de73
Dimensione: 2223104 Bytes
VirITTrojan.Win32.Genus.BYT

IOC:
ac202bb37acbda922cfbbd774412de73

PWStealer


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

DHL_FORM14PDF.exe
MD5: 825360cf7d646d8544c5e7c495a2f638
Dimensione: 2151424 Bytes
VirITTrojan.Win32.PSWStealer.BYT

IOC:
825360cf7d646d8544c5e7c495a2f638

 
 
Torna ad inizio pagina

Emotet



FA-Z-93417.doc
MD5: de35a1ee5eee7aafae0ff785b75a4244
Dimensione: 179001 Bytes
VirITW97M.Emotet.BYT

corsrtp.exe
MD5: 8ac6ad4a58f5e0a131a39ab08107b675
Dimensione: 451715 Bytes
VirIT: Trojan.Win32.Emotet.BYW

IOC:
de35a1ee5eee7aafae0ff785b75a4244
8ac6ad4a58f5e0a131a39ab08107b675

p://johnfrancisellis[.]com/87/GK5W1gS3/
p://kabookapp[.]com/crm.kabookapp.com/afMG/
p://lamilla[.]net/wp-content/F9GxhZ/
p://lamdep24h[.]life/web_map/PspHv134/
p://bjenkins[.]webview.consulting/QpbbmvTkyy/xc75659/
Torna ad inizio pagina

PWStealer


ordine 202015225.exe
MD5: 84dbf2ad51446f4086750b706e8da551
Dimensione: 98304 Bytes
VirIT: Trojan.Win32.Genus.BYT

IOC:
84dbf2ad51446f4086750b706e8da551

PWStealer

 

OFF20 AGRICOLA NOCESE 20200128.exe
MD5: b311b70cf037068f706b050d31847df8
Dimensione: 98304 Bytes
VirIT: Trojan.Win32.PSWStealer.BYU

IOC:
b311b70cf037068f706b050d31847df8

Torna ad inizio pagina

LokiBot


Carini ord. 126 3015504.exe
MD5: bd5e778b8730c0b43d027677b77b62cb
Dimensione: 98304 Bytes
VirITTrojan.Win32.Genus.BYT

IOC:
bd5e778b8730c0b43d027677b77b62cb

29 gennaio 2020

PWStealer



Documento standard FER.exe
MD5: 07e3fc18a32029af8ca9a5e876ad4c11
Dimensione: 94208 Bytes
VirIT: Trojan.Win32.Genus.BYV

IOC:
07e3fc18a32029af8ca9a5e876ad4c11

PWStealer

  


campioni di prodotto.scr
MD5c8e9971e12121a887c3ad5af1468dea0
Dimensione: 475648 Bytes
VirITTrojan.Win32.Genus.BYV

IOC:
c8e9971e12121a887c3ad5af1468dea0

LokiBot


polizza di versamento di Kocel.exe
MD547588054e8d246a65eae71ea0f7ec653
Dimensione: 45056 Bytes
VirITTrojan.Win32.PSWStealer.BYV

IOC:
47588054e8d246a65eae71ea0f7ec653

p://butland[.]gq
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php

Emotet


2020J00000580.doc
MD535bb6ed8734aea9798e3639123163dc7
Dimensione: 135780 Bytes
VirITW97M.Emotet.BYW
corsrtp.exe
MD562121d3da371e74b424699903af7c509
Dimensione: 536978 Bytes
VirITTrojan.Win32.Emotet.BYW

IOC:
35bb6ed8734aea9798e3639123163dc7
62121d3da371e74b424699903af7c509
p://blinkro[.]eu/wp-content/hMDRkCt/
p://blasmontavez[.]com/wp-includes/ep0/
p://luxuryflower[.]net/wp-content/cgNoUgY/
p://gostareh[.]org/old/f7tSe81/
p://hindwalkerphoto[.]com/wp-content/v1d8mo/
 
 

Torna ad inizio pagina
 

30 gennaio 2020

LokiBot


8719 - Carini ord. 126 3015506.exe
MD5: 2463a773ad5e5b1253cec67694fc300b
Dimensione: 69632 Bytes
VirITTrojan.Win32.Genus.BYX

IOC:
2463a773ad5e5b1253cec67694fc300b

p://euromopy[.]tech
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php


LokiBot


Ordine nr. 73800300120.exe
MD5: 5753a2fc811fdc6bdd4b8e902567882f
Dimensione: 69632 Bytes
VirIT: Trojan.Win32.PSWStealer.BYY

IOC:
5753a2fc811fdc6bdd4b8e902567882f

p://euromopy[.]tech
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php

 
Torna ad inizio pagina

PWStealer


Ordine_30.01.2020_9.exe
MD5: 4f4b14bb00a7a656ee64e352d16a6b40
Dimensione: 69632 Bytes
VirIT: Trojan.Win32.PSWStealer.BYY

IOC:
4f4b14bb00a7a656ee64e352d16a6b40
 

31 gennaio 2020

LokiBot


2020045367822094.exe
MD5: ae7c075151424f20a9ed12d989a81bde
Dimensione: 1230336 Bytes
VirIT: Trojan.Win32.Genus.BUI

IOC:
ae7c075151424f20a9ed12d989a81bde

p://sccslink[.]xyz
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php

 
Torna ad inizio pagina
 

Emotet


NRZ7V9YB_013120_{FROM.DOMAIN-1-UP}.doc
MD5: 6d06d60e77934775c1d08cc2e83dcee2
Dimensione: 129328 Bytes
VirITW97M.Emotet.BYZ

corsrtp.exe
MD5: af14f2ffc000d4fc3c14093ed26460ff
Dimensione: 362611 Bytes
VirIT: Trojan.Win32.Emotet.BYZ

IOC:
6d06d60e77934775c1d08cc2e83dcee2
af14f2ffc000d4fc3c14093ed26460ff

p://duhochvc[.]com/function.art/oWgHfVtE/
p://all-fly[.]info/bt/DFYPTYX/
p://studiomap[.]kr/wp-includes/eGXDEMy/
s://clcindy[.]com/wp-content/ijsnjdmyew-u8csa-3686522342/
p://uglobalfinance[.]com/wp-includes/xxpNRHeCE/

Torna ad inizio pagina  



Consulta le campagne del mese di Gennaio

Vi invitiamo a consultare i report del mese di Gennaio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

18/01/2020 = Report settimanale delle campagne italiane di Malspam dal 18 gennaio al 24 gennaio 2020
11/01/2020 = Report settimanale delle campagne italiane di Malspam dal 11 gennaio al 17 gennaio 2020
04/01/2020 = Report settimanale delle campagne italiane di MalSpam dal 04 gennaio al 10 gennaio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: