Selected news item is not available in the requested language.

Italian language proposed.

Close

09/03/2020
08:48

2020W10 Report settimanale= > 07-13/03 2K20 campagne MalSpam target Italia

Malware veicolati attraverso le campagne: Ursnif, OSTAP, SLoad, Remcos, Adwind, HawkEye, LokiBot, PWStealer
       
week10

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 07 marzo 2020 al 13 marzo 2020: Ursnif, OSTAP, SLoad, Adwind, Remcos, HawkEye, LokiBot, PWStealer

INDICE

==> 09 marzo 2020 => Ursnif, PWStealer
 
==> 10 marzo 2020 => SLoad, LokiBot, Adwind, PWStealer

==> 11 marzo 2020 => Ursnif, HawkEye, PWStealer, Remcos

==> 12 marzo 2020 => Ursnif, OSTAP,  NanoCore

==> 13 marzo 2020 => HawkEye, LokiBot, NanoCore
 
==> Consulta le campagne del mese di Febbraio


09 marzo 2020

Ursnif


2020030982 Sollecito pagamento.xls
MD5: 58c46218a48e3c764163f6c0963c1893
Dimensione: 63488 Bytes
VirIT: X97M.Ursnif.CBA

[ PAYLOAD URSNIF ]
MD5: bb6b130a753d95057f6d25a5e6dbd00d
Dimensione: 253440 Bytes
VirITTrojan.Win32.Ursnif.CBB

Versione: 214125
Gruppo: 2052
Key: 10291029JSJUXMPP

IOC:
58c46218a48e3c764163f6c0963c1893
bb6b130a753d95057f6d25a5e6dbd00d

p://italycovid-19[.]site
p://stornocovid-19[.]pw
p://recoverrryasitalycovid-19[.]xyz

PWStealer


Ordine nr. 84100090320201.exe
MD5: fba60fd12bc3e391c6101f4dbfee7983
Dimensione: 61440 Bytes
VirIT: Trojan.Win32.PSWStealer.CBA

IOC:
fba60fd12bc3e391c6101f4dbfee7983


Torna ad inizio pagina
 

10 marzo 2020

LokiBot



 
PURCHASE ORDER_PDF.......scr
MD5: fe4db744171b6e592dc31aec44d34919
Dimensione: 65536 Bytes
VirITTrojan.Win32.PSWStealer.CBC

IOC:
fe4db744171b6e592dc31aec44d34919

p://castrolascotools[.]us
p://alphastand[.]trade
p://kbfvzoboss[.]bid


SLoad



verificare-dati-fatt-XX71714441017.vbs
MD5: de11180857b28e7c08b776efa2eb579d
Dimensione: 9852 Bytes
VirITTrojan.VBS.Dropper.CBC

IOC:
de11180857b28e7c08b776efa2eb579d
 
s://rachellubell[.]com

PWStealer


N. fattura in scadenza # 895835_pdf_.exe
MD5: 1b679d3c5417f23e6265bea83054be41
Dimensione: 437248 Bytes
VirITTrojan.Win32.PSWStealer.CBC

IOC:
1b679d3c5417f23e6265bea83054be41

PWStealer



OFO0002000640_669386.exe
MD5: 66080f04ee4966b348efc40d9a1938e3
Dimensione: 61440 Bytes
VirITTrojan.Win32.PSWStealer.CBC

IOC:
66080f04ee4966b348efc40d9a1938e3

Adwind



HERC -Prof.jar
MD5: 608588408b9b2022b669da612fdec24e
Dimensione: 404774 Bytes
VirITTrojan.Java.Adwind.CBD

IOC:
608588408b9b2022b669da612fdec24e
 
p://dman30.ddns[.]net

Adwind



AGG-NORM-COV19.pdf.jar
MD5: 3235000bfa11642c03e7fa323097dd05
Dimensione: 9934 Bytes
VirITTrojan.Java.Adwind.CBD

IOC:
3235000bfa11642c03e7fa323097dd05
 
p://teddyboe34.dns[.]navy
Torna ad inizio pagina
  

11 marzo 2020

Ursnif



Nuovo documento 1.vbs
MD5: bee4e9e1e2ccc6b67fdaa1bc4e5d4201
Dimensione: 5123139 Bytes
VirITTrojan.VBS.Ursnif.CBE

TableOfColors.exe
MD5: 9584244d32c285c2a80f033f3b8c7c97
Dimensione: 597504 Bytes
VirITTrojan.Win32.Ursnif.CBE
Versione: 300848
Gruppo: 20208481
Key: t9Kv5JN4VwpcFO4u

IOC:
bee4e9e1e2ccc6b67fdaa1bc4e5d4201
9584244d32c285c2a80f033f3b8c7c97

p://mlzange[.]com
p://kotbikes[.]xyz
 

HawkEye

  


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView
01237736400273118_03112020.exe
MD5646fef2a911e8fb4c20f8ee086a60227
Dimensione: 2280448 Bytes
VirITTrojan.Win32.PSWStealer.CBE

IOC:
646fef2a911e8fb4c20f8ee086a60227
p://pomf[.]cat
s://a.pomf[.]cat/

PWStealer


Ordine n. OA200002951.exe
MD5154d0e55e359484e3f38707fff7bb740
Dimensione: 57344 Bytes
VirITTrojan.Win32.PSWStealer.CBF

IOC:
154d0e55e359484e3f38707fff7bb740

Remcos


Nuovo ordine di richiesta 675533299,pdf.exe
MD53e3975023407ad2fbbfc87d5c7744c43
Dimensione: 986803 Bytes
VirITTrojan.Win32.PSWStealer.davedere
Zbozbxe.exe
MD54d7013f160a770eb5d1b408db3b2a303
Dimensione: 717824 Bytes
VirITTrojan.Win32.PSWStealer.davedere

IOC:
3e3975023407ad2fbbfc87d5c7744c43
4d7013f160a770eb5d1b408db3b2a303

216.38.8[.]168
 

Torna ad inizio pagina

12 marzo 2020

Ursnif

  

Nuovo documento 1.vbs
MD5: bd7be2ef724d3486f885b5b9431396ad
Dimensione: 4852632 Bytes
VirITTrojan.VBS.Ursnif.CBG

TableOfColors.exe
MD5a4aa73091dbb49426987e5f80722ca3f
Dimensione: 604848 Bytes
VirITTrojan.Win32.Ursnif.CBG
Versione: 300848
Gruppo: 20208481
Key: V0mw45hRMcIp07HQ

IOC:
bd7be2ef724d3486f885b5b9431396ad
a4aa73091dbb49426987e5f80722ca3f

p://collegeinmenu[.]xyz
 

OSTAP



f2656392696.doc
MD5: a142781f57164afee327a8df73963135
Dimensione: 396597 Bytes
VirITW97M.Ostap.CBG

presskey.jse
MD5: e556ea8266efc719db93a63d99901b61
Dimensione: 472794 Bytes
VirITTrojan.JS.Ostap.CBG

IOC:
a142781f57164afee327a8df73963135
e556ea8266efc719db93a63d99901b61

NanoCore


Rmc-ordine120320.exe
MD5: 60d8c42b5bf1b946a92f096c8df622f7
Dimensione: 57344 Bytes
VirITTrojan.Win32.PSWStealer.CBG

IOC:
60d8c42b5bf1b946a92f096c8df622f7

 

13 marzo 2020

HawkEye


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

4009700451123300977_03132020.exe
MD5: 9b5621c2b238094edde2931f5f120e20
Dimensione: 2125824 Bytes
VirITTrojan.Win32.Injector.CBI

IOC:
9b5621c2b238094edde2931f5f120e20

p://pomf[.]cat
s://a.pomf[.]cat

LokiBot


RICHIEDI OFFERTA 13-03-2020pdf.exe
MD5: b47bc7af9871988ef522f00316efbda0
Dimensione: 40960 Bytes
VirITTrojan.Win32.LokiBot.CBJ

IOC:
b47bc7af9871988ef522f00316efbda0

NanoCore


doc130320.exe
MD5: 0ea66534c630ba55f5848d94e7ef1e69
Dimensione: 379904 Bytes
VirITTrojan.Win32.NanoCore.CBJ

IOC:
0ea66534c630ba55f5848d94e7ef1e69
Torna ad inizio pagina 
 


Consulta le campagne del mese di Febbraio

Vi invitiamo a consultare i report del mese di Febbraio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

29/02/2020 = Report settimanale delle campagne italiane di Malspam dal 29 febbraio al 06 marzo 2020
22/02/2020 = Report settimanale delle campagne italiane di Malspam dal 22 febbraio al 28 febbraio 2020
15/02/2020 = Report settimanale delle campagne italiane di MalSpam dal 15 febbraio al 21 febbraio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: