Selected news item is not available in the requested language.

Italian language proposed.

Close

24/02/2020
10:14

2020W08 Report settimanale= > 22-28/02 2K20 campagne MalSpam target Italia

Malware veicolati attraverso le campagne: Ursnif, HawkEye, LokiBot, Remcos, Adwind, FormBook, W97M, Tracking Pixel, PWStealer
       
week08

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 22 febbraio 2020 al 28 febbraio 2020: Ursnif, HawkEye, LokiBot, Remcos, FormBook, Adwind, Tracking Pixel, W97M, PWStealer

INDICE

==> 24 febbraio 2020 => Ursnif, LokiBot, HawkEye, PWStealer
 
==> 25 febbraio 2020 => LokiBot, W97M, PWStealer

==> 26 febbraio 2020 => Ursnif, PWStealer

==> 27 febbraio 2020 => Remcos, FormBook, TrackingPixel, PWStealer

==> 28 febbraio 2020 => TrackingPixel, Adwind, W97M
 
==> Consulta le campagne del mese di Febbraio

 

24 febbraio 2020

Ursnif


24022020_105736_7_284_Estratto Conto.xls
MD5: 6bbd59e880d24006b36762ded41abc49
Dimensione: 76800 Bytes
VirITX97M.Ursnif.CAG

(PAYLOAD URSNIF)
MD5: b44482ac231eed9e11dabc66cf9d3e4b
Dimensione: 249344 Bytes
VirITTrojan.Win32.Ursnif.CAG

Versione: 214125
Gruppo: 2052
Key: 10291029JSJUXMPP

IOC:
6bbd59e880d24006b36762ded41abc49
b44482ac231eed9e11dabc66cf9d3e4b
 
p://megpagamil.pw[.]me  
p://gpagamilmegpagamil[.]xyz  

HawkEye


200097789977798789_02112020.exe
MD5: 03fe57e0630a7096bffa983031db4ecf
Dimensione: 2077696 Bytes
VirIT: Trojan.Win32.PSWStealer.CAK

IOC:
03fe57e0630a7096bffa983031db4ecf

p://pomf[.]catupload.php
s://a.pomf[.]cat

LokiBot


fattura proforma-PDF_.exe
MD5: 64e6aca4d9c139bf1fe40da6946cc433
Dimensione: 369152 Bytes
VirIT: Trojan.Win32.PSWStealer.CAG

IOC:
64e6aca4d9c139bf1fe40da6946cc433

p://matantalbenna[.]com
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php

PWStealer


Fattura_CEP7365 dettagli bancari.exe
MD5: 318fb46530904087d25abb0d8746110a
Dimensione: 390656 Bytes
VirIT: Trojan.Win32.PSWStealer.CAG

IOC:
318fb46530904087d25abb0d8746110a

PWStealer


Payment_invoice.exe
MD5: 3bdfff7e8a6e3f21a2a39f1b4066e379
Dimensione: 53248 Bytes
VirIT: Trojan.Win32.PSWStealer.CAH

IOC:
3bdfff7e8a6e3f21a2a39f1b4066e379


Torna ad inizio pagina
 

25 febbraio 2020

PWStealer



 
Foglio di quotazione_#RFQ25022020.exe
MD5: 35da02b387f941882d0821ea67cffa14
Dimensione: 1630208 Bytes
VirITTrojan.Win32.PSWStealer.CAI

IOC:
35da02b387f941882d0821ea67cffa14

LokiBot



ORDINE FORNITORE Nr 160 del 25_02_2020.exe
MD5: 5f4a1d4f00add8a502e69d1609df4951
Dimensione: 45056 Bytes
VirITTrojan.Win32.PSWStealer.CAI

IOC:
5f4a1d4f00add8a502e69d1609df4951
 
p://falcontension[.]tech
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php 


PWStealer



ordine 6600456599.exe
MD5: 0229c18dfb820829a6364587eb865a4f
Dimensione: 45056 Bytes
VirITTrojan.Win32.PSWStealer.CAI

IOC:
0229c18dfb820829a6364587eb865a4f

W97M



ft26587822.doc
MD5: 3430f0979363ea83ba3b188fce98bfdd
Dimensione: 597788 Bytes
VirITW97M.Downloader.CAJ

List1.jse
MD5: 36254b3f04e27e6ecb138eb4dfe0675b
Dimensione: 348539 Bytes
VirITTrojan.JS.Dwnldr.CAJ

IOC:
3430f0979363ea83ba3b188fce98bfdd
36254b3f04e27e6ecb138eb4dfe0675b

LokiBot



ORDINE 201-2020.exe
MD5: 9df54b7b617489eb4ef97b5468385967
Dimensione: 45056 Bytes
VirITTrojan.Win32.PSWStealer.CAK

IOC:
9df54b7b617489eb4ef97b5468385967
 
p://innoexpo[.]tech
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php 
Torna ad inizio pagina
 
 

26 febbraio 2020

PWStealer

  


dASA21q.exe
MD5d4082c9bd73e25e54c8a7364f9697da4
Dimensione: 1253376 Bytes
VirITTrojan.Win32.PSWStealer.CAK

IOC:
d4082c9bd73e25e54c8a7364f9697da4

PWStealer


nuovo ordine_293454700953.exe
MD5dc85ece890bd412af6421ae8ac4ac8b1
Dimensione: 49152 Bytes
VirITTrojan.Win32.PSWStealer.CAK

IOC:
dc85ece890bd412af6421ae8ac4ac8b1

PWStealer


REF00026022020(PIDoc.exe
MD59d98e11711b3e932184cad13d27f5fc8
Dimensione: 780800 Bytes
VirITTrojan.Win32.PSWStealer.CAL

IOC:
9d98e11711b3e932184cad13d27f5fc8

Ursnif

 Di seguito altre tipologie di mail le cui differenze riguardano "Oggetto" e "Descrizione"
 

doc12803420200225174087_u93.xls
MD5: 380d21c73a8dabc40ee4715f49706dfb
Dimensione: 66048 Bytes
VirITX97M.Ursnif.CAN

(PAYLOAD URSNIF)
MD5: aa83fd4292914479347217ae6744b140
Dimensione: 245760 Bytes
VirITTrojan.Win32.Ursnif.CAN

Versione: 214125
Gruppo: 2052
Key: 10291029JSJUXMPP

IOC:
380d21c73a8dabc40ee4715f49706dfb
aa83fd4292914479347217ae6744b140
 
p://atooioplap[.]xyz
p://atooioplapatooioplap[.]xyz

 
Torna ad inizio pagina

27 febbraio 2020

PWStealer


Ordine_0295351.pdf_.exe
MD5: 337f16c3c2c76c38322d7e344a973974
Dimensione: 642048 Bytes
VirITTrojan.Win32.PSWStealer.CAN

IOC:
337f16c3c2c76c38322d7e344a973974

PWStealer



Ordine nr 5032004.exe
MD5: 6aa24be6eed24eaafa8c04c9513179bc
Dimensione: 53248 Bytes
VirITTrojan.Win32.PSWStealer.CAN

IOC:
6aa24be6eed24eaafa8c04c9513179bc

FormBook


TOLEDO VENTANAS RFQ230051_001211154800323_PDF.exe.exe
MD5: b51cfeec5803cab0a6edc91bc32f3922
Dimensione: 49152 Bytes
VirITTrojan.Win32.PSWStealer.CAN

IOC:
b51cfeec5803cab0a6edc91bc32f3922

Tracking Pixel


Questo messaggio non riporta link o allegati da aprire e potrebbe risultare all'ignaro utente una email legittima.
Se però andiamo ad analizzare nel dettaglio il sorgente del messaggio scopriamo che all'interno della mail è contenuto quello che in gergo tecnico vene definito "Tracking Pixel":

<html>
<head>

</head>
<body>
<p>Egregio Dottore/Gent.ma Dottoressa, <br />
come gia segnalato in una precedente comunicazione, Le ricordiamo che Unioncamere, in accordo con l’Agenzia Nazionale Politiche Attive del Lavoro (ANPAL) sta realizzando, insieme alle Camere di Commercio dei diversi territori, il Progetto, gia sviluppato con successo dal 1997, un monitoraggio relativo alle previsioni di assunzione per il trimestre febbraio 2020 – marzo 2020.
 <br />Le ricordiamo che la presente rilevazione fa parte delle indagini con obbligo di risposta previste dal Programma Statistico Nazionale e, rammentandole che la Sua impresa fa parte del campione interessato dalla ricerca, La informiamo che riceve la presente comunicazione perche il questionario di Sua competenza non ci risulta ancora consegnato attraverso i canali previsti.</p>
<DIV><IMG width=1 height=1 alt="" src="https://reellifeoutdoors[.]com/sharer/content.bmp?RiMahUbp[...REDACTED...]RmSo%3D"></DIV></body>
</html>

Come si può notare oltre al testo del messaggio è contenuto un TAG IMG di HTML che viene utilizzato per caricare una immagine da un sito WEB che non risulta essere associato al mittente.
Questo tag IMG specifica con i due parametri WIDTH e HEIGHT una dimensione dell'immagine di 1px di larghezza ed 1 px di altezza, in questo modo l'immagine risulterà sostanzialmente invisibile all'utente.
Nel momento in cui viene aperta la mail l'immagine viene caricata e l'attaccante è in grado di sapere che quel specifico messaggio è stato aperto e quindi l'email di destinazione è attiva e consultata.
Questa tecnica viene utilizzata per verificare se le email di destinazione sono attive e consultate per poi effettuare ulteriori invii di email di malspam.

Nello screenshot sottostante vediamo l'immagine che viene caricata all'interno del messaggio, come si può notare si tratta un punto di 1px bianco che una volta caricato nell'email che ha lo sfondo bianco risulterà invisibile.



IOC:
s://reellifeoutdoors[.]com

PWStealer


S_4009800568110989_02272020.exe
MD5: e02ca3a5174b1490c7ed5f75876aec2d
Dimensione: 2067968 Bytes
VirITTrojan.Win32.PSWStealer.CAM

IOC:
e02ca3a5174b1490c7ed5f75876aec2d

PWStealer


Nuovo documento 1.js
MD5: 272114011ce241696ff1f07026087b02
Dimensione: 84007 Bytes
VirITTrojan.JS.Dwnldr.CAN

rc.exe
MD5: 06103116cbf15dd1740e742a38b208f9
Dimensione: 540672 Bytes
VirITTrojan.Win32.PSWStRaccoon.CAN

IOC:
272114011ce241696ff1f07026087b02
06103116cbf15dd1740e742a38b208f9

Remcos


Ordine di acquisto_4653 Catalogo, pdf.exe
MD5: 347dc95515ced42b90ccc0831f976e22
Dimensione: 444928 Bytes
VirITTrojan.Win32.PSWStealer.CAM

IOC:
347dc95515ced42b90ccc0831f976e22

airsack.ddns[.]net

28 febbraio 2020

Tracking Pixel


Questo messaggio non riporta link o allegati da aprire e potrebbe risultare all'ignaro utente una email legittima.
Se però andiamo ad analizzare nel dettaglio il sorgente del messaggio scopriamo che all'interno della mail è contenuto quello che in gergo tecnico vene definito "Tracking Pixel":

<html>
<head>

</head>
<body>
<p>Gentile cliente, <br />
Questo messaggio Le viene inviato automaticamente 63551829832
le inviamo in allegato la seguente documentazione relativa all Accordo di Contitolarita del trattamento 93003712255 dei dati personali e sensibili. Desideriamo infine assicurarLe che le notizie raccolte con l’indagine saranno trattate esclusivamente a scopo statistico, garantendo la massima riservatezza; ad ulteriore garanzia della correttezza del rapporto di collaborazione, potra altresi consultare il sito
</p>

<DIV><IMG width=1 height=1 alt="" src="https://gofundmedonorhelp[.]com/classic/standart.tiff?[...REDACTED...]%3D%3D"></DIV></body>
</html>

Come si può notare oltre al testo del messaggio è contenuto un TAG IMG di HTML che viene utilizzato per caricare una immagine da un sito WEB che non risulta essere associato al mittente.
Questo tag IMG specifica con i due parametri WIDTH e HEIGHT una dimensione dell'immagine di 1px di larghezza ed 1 px di altezza, in questo modo l'immagine risulterà sostanzialmente invisibile all'utente.
Nel momento in cui viene aperta la mail l'immagine viene caricata e l'attaccante è in grado di sapere che quel specifico messaggio è stato aperto e quindi l'email di destinazione è attiva e consultata.
Questa tecnica viene utilizzata per verificare se le email di destinazione sono attive e consultate per poi effettuare ulteriori invii di email di malspam.

Nello screenshot sottostante vediamo l'immagine che viene caricata all'interno del messaggio, come si può notare si tratta un punto di 1px bianco che una volta caricato nell'email che ha lo sfondo bianco risulterà invisibile.



IOC:
s://gofundmedonorhelp[.]com
s://robertgronstedtjr[.]com

Adwind


Reviso TIM.jar
MD5: 4d9a67e7208ea5aa96be9526afe05c6d
Dimensione: 384897 Bytes
VirITTrojan.Java.Adwind.CAO

IOC:
4d9a67e7208ea5aa96be9526afe05c6d

p://dman20.duckdns[.]org

W97M


ft_113150.doc
MD5: 0228e0f9e19da0f0711e2afa698fdef2
Dimensione: 477493 Bytes
VirITW97M.Agent.CAO

List1.jse
MD5: 9f5f3480afeeac97d11d60eb1536d094
Dimensione: 340555 Bytes
VirITTrojan.JS.Dwnldr.CAP

IOC:
0228e0f9e19da0f0711e2afa698fdef2
9f5f3480afeeac97d11d60eb1536d094
 
Torna ad inizio pagina 
 

Consulta le campagne del mese di Febbraio

Vi invitiamo a consultare i report del mese di Febbraio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

15/02/2020 = Report settimanale delle campagne italiane di Malspam dal 15 febbraio al 21 febbraio 2020
08/02/2020 = Report settimanale delle campagne italiane di Malspam dal 08 febbraio al 14 febbraio 2020
01/02/2020 = Report settimanale delle campagne italiane di MalSpam dal 01 febbraio al 07 febbraio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: