TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

Vir.IT eXplorer PRO dal 2016 Certificato ICSA Labs

Vir.IT eXplorer PRO dal 2016 Certificato VB100

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

05/06/2020 10:40:43 - 2020W22 Report settimanale= > 30/05-05/06 2K20 campagne MalSpam target Italia

       
week22

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 30 maggio 2020 al 05 giugno 2020: Ursnif, HawkEye, NanoCore, Remcos, MassLogger, Downloader, PWStealer

INDICE

==> 01 giugno 2020 => PWStealer

=
=> 02 giugno 2020 => HawkEye, Downloader

==>
 03 giugno 2020 => Ursnif, Remcos, MassLogger, NanoCore

==> 
04 giugno 2020 => Downloader

==> 05 giugno 2020 => MassLogger, HawkEye, PWStealer
              

==> Consulta le campagne del mese di Maggio/Giugno



01 giugno 2020

PWStealer


nuova richiesta d'ordine.exe

MD5: 0d2e431d291cf1a0b4d00115f2e30342
Dimensione: 868352 Bytes
VirITTrojan.Win32.PSWStealer.CFO

IOC:
0d2e431d291cf1a0b4d00115f2e30342

PWStealer


ordine OA2000714.exe

MD5: 0b22899ecd8228eee00e1aad3c407f33
Dimensione: 402432 Bytes
VirITTrojan.Win32.PSWStealer.CFP

IOC:
0b22899ecd8228eee00e1aad3c407f33
 


Torna ad inizio pagina
 

02 giugno 2020

HawkEye



 
Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

pagamento.exe

MD5: b1ccbb3d8e93809dc13b49c73f492c8f
Dimensione: 662016 Bytes
VirIT: Trojan.Win32.PSWStealer.CFQ

IOC:
b1ccbb3d8e93809dc13b49c73f492c8f

Downloader



 
OP7EURO.exe
MD5: bc1ffe2a7030dd0a0889e08e484cbfcd
Dimensione: 77824 Bytes
VirITTrojan.Win32.PSWStealer.CFO
 
IOC:
bc1ffe2a7030dd0a0889e08e484cbfcd
Torna ad inizio pagina
  

03 giugno 2020

MassLogger



Order.exe
MD5: 0c62a89a41790ff40cf0331d3d03b94c
Dimensione: 930816 Bytes
VirITTrojan.Win32.PSWStealer.CFQ
 
IOC:
0c62a89a41790ff40cf0331d3d03b94c

Ursnif



 
DHL_Fattura_cash_156952_1_3788.xlsm
MD5b7dcfa9d63ac2d970754dcaf72e955e8
Dimensione: 39745 Bytes
VirITX97M.Ursnif.CFQ

[ PAYLOAD URSNIF ]
MD5: 3162d551893826e203f905a05ade0dcf
Dimensione: 431960 Bytes
VirITTrojan.Win32.Ursnif.CFQ

Versione: 214139
Gruppo: 4444
Key: 21291029JSJUXMPP

IOC:
b7dcfa9d63ac2d970754dcaf72e955e8
3162d551893826e203f905a05ade0dcf

p://gstat.llbntv[.]com/pagament1.exe
s://bizzznez[.]com

Ursnif



 
Fattura_54117.xlsm
MD5: 1d7d64d36d37449e514add9baa34139b
Dimensione: 39714 Bytes
VirITX97M.Ursnif.CFQ

[ PAYLOAD URSNIF ]
MD52433d1e963b153101154f2ad320316c6
Dimensione: 226304 Bytes
VirITTrojan.Win32.Ursnif.CFQ

Versione: 214139
Gruppo: 4444
Key: 21291029JSJUXMPP

IOC:
1d7d64d36d37449e514add9baa34139b
2433d1e963b153101154f2ad320316c6

s://bizzznez[.]com
s://bizzznez[.]org

NanoCore



 
03062020,pdf.exe
MD5: b85ca0d42cad7cce4dae10cf034ad680
Dimensione: 486912 Bytes
VirIT: Trojan.Win32.PSWStealer.CFR

IOC:
b85ca0d42cad7cce4dae10cf034ad680

p://billionaire.ddns[.]net

Remcos



 
Arrival Notice,pdf.exe
MD5: 4c29f91427b93ae93dc5f21826cd93a5
Dimensione: 452608 Bytes
VirIT: Trojan.Win32.PSWStealer.CFR

IOC:
4c29f91427b93ae93dc5f21826cd93a5

PWStealer



 
005921del06302020.exe
MD5: 840d1423f966b43c23a09964ce1c6ff4
Dimensione: 562176 Bytes
VirIT: Trojan.Win32.PSWStealer.CFR

IOC:
840d1423f966b43c23a09964ce1c6ff4
 
 

04 giugno 2020

Downloader

  

Bonifico.exe
MD5: 49f2ccf0a3341df9713349a1345d3c3d
Dimensione: 126976 Bytes
VirITTrojan.Win32.PSWStealer.CFT

IOC:
49f2ccf0a3341df9713349a1345d3c3d

05 giugno 2020

MassLogger

  
campioni di prodotto.exe
MD5: f10030b7dc7993e51c011065308cd42a
Dimensione: 941056 Bytes
VirITTrojan.Win32.PSWStealer.CFU

IOC:
f10030b7dc7993e51c011065308cd42a

HawkEye

  

Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

payment.exe

MD5: 5dcb32edc4fc9cddca72bbfb620b659d
Dimensione: 69880 Bytes
VirITTrojan.Win32.PSWStealer.CFU

IOC:
5dcb32edc4fc9cddca72bbfb620b659d

PWStealer

  

doc9332001374_pdf.exe
MD5: 1ebf7f06e34b72098831529fe7b9b719
Dimensione: 667648 Bytes
VirITTrojan.Win32.PSWStealer.CFU

IOC:
1ebf7f06e34b72098831529fe7b9b719

PWStealer

  

Savvikos_65437,pdf.exe
MD5: 35d3c961388e8ba2c9078f4ce2d674a5
Dimensione: 478720 Bytes
VirITTrojan.Win32.PSWStealer.CFU

IOC:
35d3c961388e8ba2c9078f4ce2d674a5
 
 
 


Consulta le campagne del mese di Maggio/Giugno

Vi invitiamo a consultare i report del mese di Maggio/Giugno, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

23/05/2020 = Report settimanale delle campagne italiane di Malspam dal 23 maggio al 29 maggio 2020
16/05/2020 = Report settimanale delle campagne italiane di Malspam dal 16 maggio al 22 maggio 2020
09/04/2020 = Report settimanale delle campagne italiane di MalSpam dal 09 maggio al 15 maggio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283