TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

16/03/2020 08:36:41 - 2020W11 Report settimanale= > 14-20/03 2K20 campagne MalSpam target Italia

       
week11

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 14 marzo 2020 al 20 marzo 2020: Ursnif, JasperLoader, HawkEye, NanoCore, RevengeRAT, Remcos

INDICE

==> 16 marzo 2020 => NanoCore
 
==> 17 marzo 2020 => HawkEye, Ursnif

==>
 18 marzo 2020 => JasperLoader

==> 
19 marzo 2020 => JasperLoader, RevengeRAT

==> 20 marzo 2020 => PWStealer, Remcos
 

==> Consulta le campagne del mese di Febbraio



16 marzo 2020

NanoCore


8-7864.exe

MD5: 13cdbcb9254ba1b8fddc0f561bce25ae
Dimensione: 1754112 Bytes
VirITTrojan.Win32.Genus.KJ

IOC:
13cdbcb9254ba1b8fddc0f561bce25ae


Torna ad inizio pagina
 

17 marzo 2020

HawkEye



 
ORDER01920PDF_.exe
MD5: ea453972f243efeef182e827580727c9
Dimensione: 2340864 Bytes
VirITTrojan.Win32.Genus.KJ

IOC:
ea453972f243efeef182e827580727c9

p://pomf[.]cat/
s://a.pomf[.]cat


Ursnif



download.exe
MD5: ad821460412958b7b4d47d67914f7a6f
Dimensione: 289280 Bytes
VirITTrojan.Win32.Ursnif.CBM

Versione: 217111
Gruppo: 5153
Key: 10291029JSJUYNHG

IOC
:
ad821460412958b7b4d47d67914f7a6f
 
p://link.philippeschellekens[.]com
p://films.midamericaestatebuyers[.]com

Ursnif


Allegato_00_2020_03_40310.xls
MD5: 5def66e3724d0a7f3c4842f94ab4fb08
Dimensione: 71680 Bytes
VirITX97M.Ursnif.CBM

[ PAYLOAD URSNIF ]
MD5: 6f865c1c1f4b61bfad8362558372bd6f
Dimensione: 290816 Bytes
VirITTrojan.Win32.Ursnif.CBN

Versione: 214125
Gruppo: 2052
Key: 10291029JSJUXMPP


IOC
:
5def66e3724d0a7f3c4842f94ab4fb08
6f865c1c1f4b61bfad8362558372bd6f

p://eiurbfvpewirub[.]xyz
s://eouryfvioeurfoevri[.]xyz
s://findoitaliafattura[.]pw

 
 
Torna ad inizio pagina
  

18 marzo 2020

JasperLoader



Scan_NewDocument_1229290814.vbs
MD5: d24137bf8d0aef715da0d10907bec24f
Dimensione: 6606029 Bytes
VirITTrojan.VBS.JasperLoader.CW

WindowsIndexingService.vbs
MD5: c2a4998332649f35550376b087634c15
Dimensione: 46498 Bytes
VirITTrojan.VBS.JasperLoader.CW

IOC:
d24137bf8d0aef715da0d10907bec24f
c2a4998332649f35550376b087634c15

p://mgm.perc-up[.]com
p://bito.carlaarrabito[.]it
p://scan.perc-upcoffee[.]com
 
 

19 marzo 2020

JasperLoader

  

Scan_NewDocument_4714758522.vbs
MD5: 0a51e95fd7c07ccbc7a87f6b22dff040
Dimensione: 59768833 Bytes
VirITTrojan.VBS.JasperLoader.CX

WindowsIndexingService.vbs
MD51905f9914b8be42fabe33e9976d19680
Dimensione: 67480 Bytes
VirITTrojan.VBS.JasperLoader.CX

IOC:
0a51e95fd7c07ccbc7a87f6b22dff040
1905f9914b8be42fabe33e9976d19680

p://mgm.perc-up[.]com
p://bito.carlaarrabito[.]it
p://scan.perc-upcoffee[.]com
 

RevengeRAT


All'interno dell'archivio "Documenti pdf.rar" è presente un file link (.lnk) che attraverso mshta e powershell andrà a scaricare da internet ed eseguire il Payload finale del RAT.
Inoltre l'archivio contiene un file con estensione .pdf che in realtà è uno script powershell che esegue le medesime operazioni, il file se aperto con un Visualizzatore  PDF non esegue alcuna operazione, non è chiaro se si tratta di un errore voluto o semplicemente una dimenticanza.

[ Documenti pdf.rar ]
MD5: 8D4CB176A011DE6536A50AE5A476CEAE
Dimensione: 16301 Bytes

[ Documenti.pdf.lnk ]
MD5: D72CDE78721EFD9C9396224D27D0FDF8
Dimensione: 1769 Bytes
VirIT: Trojan.LNK.Dropper.CP

[ Documenti.pdf]
MD5: 21DBC6B18AE49AE01349480818958087
Dimensione: 47260 Bytes
VirITTrojan.PS.Dropper.CBR

[ PAYLOAD RevengeRAT ]

MD5: FA10F656361527AC9289E23023619D85
Dimensione: 12800 Bytes
VirITTrojan.Win32.RevengeRAT.CBR

Analizzando il Payload del malware RevengeRAT è possibile vedere il seguente pdb
 
 

Diagramma di flusso dell'infezione del malware RevengeRAT nel computer della vittima:
 

 
IOC:
fa10f656361527ac9289e23023619d85

s://195123a6.ngrok[.]io
79.134.225[.]13

20 marzo 2020

PWStealer



makeveeeee.exe

MD5: aff691cf8f92eac29da2421d910d6a74
Dimensione: 81920 Bytes
VirITTrojan.Win32.PSWStealer.CS

IOC:
aff691cf8f92eac29da2421d910d6a74


Remcos


Ricevuta DHL 2723382830,pdf.exe

MD5: 8f315832edfc38de87a35f3eb6b24358
Dimensione: 714752 Bytes
VirITTrojan.Win32.PSWStealer.CS

IOC:
8f315832edfc38de87a35f3eb6b24358
Torna ad inizio pagina 
 


Consulta le campagne del mese di Febbraio/Marzo

Vi invitiamo a consultare i report del mese di Febbraio/Marzo, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

07/02/2020 = Report settimanale delle campagne italiane di Malspam dal 07 marzo al 13 marzo 2020
29/02/2020 = Report settimanale delle campagne italiane di Malspam dal 29 febbraio al 06 marzo 2020
22/02/2020 = Report settimanale delle campagne italiane di MalSpam dal 22 febbraio al 28 febbraio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283