Selected news item is not available in the requested language.

Italian language proposed.

Close

13/07/2020
09:34

2020W28 Report settimanale= > 11-17/07 2K20 campagne MalSpam target Italia


Malware veicolati attraverso le campagne: Ursnif, HawkEye, SLoad, FormBook, LokiBot, PWStealer
       
week28

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 11 luglio al 17 luglio 2020: Ursnif, HawkEye, SLoad, FormBook, LokiBot, PWStealer

INDICE

==> 12 luglio 2020 => PWStealer

=
=> 13 luglio 2020 => SLoad, FormBook, PWStealer

==>
 14 luglio 2020 => Ursnif, HawkEye, PWStealer

==> 
15 luglio 2020 => PWStealer

==> 16 luglio 2020 => Ursnif, LokiBot, FormBook

==> 17 luglio 2020 => FormBook, PWStealer
              

==> Consulta le campagne del mese di Giugno/Luglio


Nella settimana corrente vi è stato un lieve calo delle campagne totali di malspam distribuite in Italia, rispetto alla settimana scorsa, come possiamo notare dal grafico di seguito, dove sono state confrontate le ultime 4 settimane. Vi è però un leggero incremento per quanto riguarda le campagne mirate ad utenti italiani.
La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 134 le campagne che abbiamo monitorato, di cui 20 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
dal al
Week_25 20/06 26/06
Week_26 27/06 03/07
Week_27 24/07 10/07
Week_28 11/07 17/07


Nella settimana corrente il picco delle campagne è stato mercoledì 15 luglio, con 38 campagne di cui 2 con messaggi rivolti direttamente ad utenti italiani, come è evidenziato dal grafico riportato di seguito.
Martedì 14 e giovedì 16 si è rilevato il maggior picco di invii mirati all'utenza italiana, con 6 differenti campagne.



La grande maggioranza dei sample che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 67,91% dei malware inviati via mail, seguito con il 15,67% di sample in Delphi.
L'11,19% dei sample distribuiti sono documenti di Office (Word, Excel), che scaricano altri malware, come ad esempio Ursnif.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.

Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:




Wanna Scream


In settimana si è osservato un attacco da parte del ransomware denominato Wanna Scream.
Il vettore di attacco utilizzato dai CyberCriminali è stato l'accesso in RDP (Remote Desktop Protocol) alla macchina colpita. L'accesso è avvenuto in tarda notte e dalle analisi svolte dal C.R.A.M. di TG Soft è stato identificato l'indirizzo IP dell'attaccante che risulta geolocalizzato in Germania.

Vediamo di seguito alcuni dettagli del sample analizzato:

winlogon.exe
MD5: 5EE633B41CA79B16DC9E02C35BD9D4D5
Dimensione: 29184 Bytes
VirITTrojan.Win32.WannaScream.CHU

Il ransomware è stato scritto con il linguaggio C# ed una volta avviato andrà ad eseguire le seguenti funzioni:

 


La funzione save enumera i drive del sistema e poi invia una serie di informazioni al Server di C&C http://recoverydata[.]merehosting[.]com/db come si può vedere dall'immagine:



Successivamente viene chiamata la funzione StartUPAdd che si occupa di creare la persistenza del ransomware copiando il payload nella cartella di startup dell'utente ed inoltre lascia una copia delle istruzioni del riscatto:



In seguito vengono chiamate le funzioni RunEncrypt e SearchDisk che si occupano della cifratura dei file del computer:





La cifratura avviene attraverso la funzione Encrypt. La funzione si occupa anche di lasciare copia delle istruzioni del riscatto [ ReadMe.txt ] e [ info.hta ] ed evita di cifrare i seguenti file:
  • ReadMe.txt
  • *.EL (estensione dei file già cifrati)
  • info.hta
  • BOOTNXT
  • bootmgr
  • BOOTSEC.BAK
  • boot.sdi
  • ReAgent.xml
  • Winre.wim
  • BOOTSTAT.DAT
Inoltre viene esclusa dalla cifratura la cartella C:\windows.

Ai nome dei file cifrati verrà aggiunto un codice ID che è stato generato dalla funzione GetID seguito dalla email dei CyberCriminali e l'estensione .EL un esempio della struttara del file cifrato è: <nome file>.<estensione file>.[codice alfanumerico[getback25@protonmail.com].EL



Le mail dei CyberCriminali sono contenute all'interno della configurazione del ransomware. Un altro dei parametri contenuti nella configurazione è Soldier che in questo sample ha come valore " M-k " che fa presumere essere il codice identificativo dell'attaccante facendo ipotizzare un utilizzo RaaS ( Ransomware-as-a-service ):



L'ultima attività che viene eseguita da Wanna Scream è la cancellazione delle shadow copy di Windows con la funzione DeleteShadowCopy per evitare il possibile recupero dei file cifrati:



Vediamo di seguito le istruzioni del riscatto lasciate dal ransomware [ info.hta ] ed il contenuto del file [ ReadMe.txt ]



 [+] All Your Files Have Been Encrypted [+]
 [-] Do You Really Want To Restore Your Files?
 [+] Write Us To The E-Mail : getback25@protonmail.com
 [+] Write Us To The ID-Telegram : @Book545
 [+] If you did not get any response until 24 hours later,Write to this E-Mail : decrypt52@protonmail.com
 [-] Write Your Unique-ID In The Title Of Your Message.
 [+] Unique-ID : < redacted >

IOC:
5EE633B41CA79B16DC9E02C35BD9D4D5
p://recoverydata[.]merehosting[.]com

12 luglio 2020

PWStealer

IS099853EDCOO.com
MD5: 4c8cc9b59cce6e95f78f11b135748bd8
Dimensione: 873824 Bytes
VirITTrojan.Win32.PSWStealer.CHS

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: 250-mta-11.privateemail[.]com  -> 198.54.122.60 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@granttools[.]xyz

IOC:
4c8cc9b59cce6e95f78f11b135748bd8
 


Torna ad inizio pagina
 

13 luglio 2020

PWStealer


Italy_Ordine della Corte n. CAS 036886890678.exe
MD5e9066a6c3f243cdb94085ef3ebb812ff
Dimensione: 432128 Bytes
VirITTrojan.Win32.PackedNET.OJ

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 myt4-ee976ce519ac.qloud-c.yandex[.]net -> 77.88.21.158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]ru
 
IOC:
e9066a6c3f243cdb94085ef3ebb812ff

SLoad



  
Fatt_cliente_03790420230.vbs
MD5: 0a6d2e133f5e58a76a50ede866d982d0
Dimensione: 4316 Bytes
VirIT: Trojan.VBS.SLoad.CHS

IOC:
0a6d2e133f5e58a76a50ede866d982d0

s://mynewbranch[.]com
s://pickpickict[.]com
s://peliculadeestreno[.]com
s://sirisms[.]com
s://mzgotech[.]com
s://sheyenneweber[.]com
s://lwyhef[.]eu
s://mzgotech[.]com
s://ponmer[.]eu


Formbook



  
R220917549.exe
MD5: 65e707bd6d53922eed2f27b35bd5355a
Dimensione: 945664 Bytes
VirIT: Trojan.Win32.PSWStealer.CHT

IOC:
65e707bd6d53922eed2f27b35bd5355a

p://cayyoluhaliyikamaci[.]com
 
Torna ad inizio pagina
  

14 luglio 2020

Ursnif



documento_884.xls
MD5: 44a891cb03c5addf255c194991189e9c
Dimensione: 187668 Bytes
VirITX97M.Ursnif.CHU

[ PAYLOAD URSNIF ]
MD5: b99b8b8314c7e98cbc4dcab57b028c65
Dimensione: 145408 Bytes
VirIT: Trojan.Win32.Ursnif.CHU

Versione: 250154
Gruppo: 8984
Key: 10291029JSJUYNHG
 
IOC:
44a891cb03c5addf255c194991189e9c
b99b8b8314c7e98cbc4dcab57b028c65

p://gstat.ineedcurbappeal[.]com
p://web.heartyian[.]com
 
 

HawkEye



Dettagli di spedizione.exe
MD5: 4e6c88000d39ba9b2970a38c06ad8954
Dimensione: 760832 Bytes
VirIT: Trojan.Win32.PSWStealer.CHU

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Operating System Intel Recovery
  • WEB Browser Password Stealer
  • Mail Messenger Password Stealer
  • Internet Download Manager Stealer
  • JDownloader Password Stealer
  • WEB Browser Password Stealer
 
IOC:
4e6c88000d39ba9b2970a38c06ad8954

HawkEye



Pagamento.exe
MD5: 1bfa17fbb313ef26a2384e5ccbd846db
Dimensione: 760832 Bytes
VirITTrojan.Win32.PSWStealer.CHU

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Operating System Intel Recovery
  • WEB Browser Password Stealer
  • Mail Messenger Password Stealer
  • Internet Download Manager Stealer
  • JDownloader Password Stealer
  • WEB Browser Password Stealer
 
IOC:
1bfa17fbb313ef26a2384e5ccbd846db

Ursnif



59442 NEL4127115.xlsm
MD5: 235326560f595b807aa52df22e8d5e69
Dimensione: 40165 Bytes
VirITX97M.Ursnif.CHU

[ PAYLOAD URSNIF ]
MD5: c674dce7a1511d76c2d36e4645b16682
Dimensione: 223232 Bytes
VirIT: Trojan.Win32.Ursnif.CHU

Versione: 250154
Gruppo: 4343
Key: 21291029JSJUXMPP
 
IOC:
235326560f595b807aa52df22e8d5e69
c674dce7a1511d76c2d36e4645b16682

s://greenbuss[.]com
p://redflash[.]org

PWStealer



Ordine Ferroli n. 003915200714.exe
MD5: 1ebcd5a47b7949e94a863bbd3d52ff1d
Dimensione: 945664 Bytes
VirITTrojan.Win32.PSWStealer.CHU

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: 220-ww2.r2ceurope[.]com -> 185.69.232.50 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@solivera[.]com
 
IOC:
1ebcd5a47b7949e94a863bbd3d52ff1d

PWStealer



FATTURA - IT811175508 - 640652591.exe
MD5: c4a48302f8a5fab5db34580e1e26007b
Dimensione: 738816 Bytes
VirITTrojan.Win32.PSWStealer.CHV

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 vla3-3dd1bd6927b2.qloud-c.yandex[.]net -> 77.88.21.158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com
 
IOC:
c4a48302f8a5fab5db34580e1e26007b
 
 

15 luglio 2020

PWStealer

 

FATTURA - IT811175508.exe

MD5: edd13c80ba1b07cde3dd9db290cdce82
Dimensione: 1150646 Bytes
VirITTrojan.Win32.Injector.CHW
  
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 sas1-e00c2743cdb8.qloud-c.yandex[.]net -> 7.88.21.158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

IOC:
edd13c80ba1b07cde3dd9db290cdce82

PWStealer

 

Ordine N 345 19280 15-7-20.exe

MD5: e0878193ea0ee4f59ef6912f3d91557a
Dimensione: 764416 Bytes
VirIT: Trojan.Win32.PSWStealer.CHX
  
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: 220-ww2.r2ceurope[.]com -> 185.69.232.50 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@solivera[.]com

IOC:
e0878193ea0ee4f59ef6912f3d91557a

16 luglio 2020

Ursnif

  
agenzia_entrate_666.xls
MD5: b2e266d1ed89e27fab0ac959b854d8e6
Dimensione: 194560 Bytes
VirITX97M.Ursnif.CHY

[ PAYLOAD URSNIF ]
MD5: 34bd20df1ceca1bb66fa1c4907ac09e3
Dimensione: 206336 Bytes
VirIT: Trojan.Win32.Ursnif.CHY

Versione: 250154
Gruppo: 8985
Key: 10291029JSJUYNHG

IOC:

b2e266d1ed89e27fab0ac959b854d8e6
34bd20df1ceca1bb66fa1c4907ac09e3

p://web.emergingsun[.]com
p://gstat.coneybucks[.]com

PWStealer

 

Brochure Ambrogio..io compressed.pdf.exe

MD5: e2f2e8da3a77c077a2b85919ff13d655
Dimensione: 583168 Bytes
VirIT: Trojan.Win32.PSWStealer.CHY
  
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 us2.outbound.mailhostbox[.]com -> 208.91.198.143 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@millndustries[.]com

IOC:
e2f2e8da3a77c077a2b85919ff13d655

FormBook

 

Copia veloce.exe

MD5: 862a0c97d4eb40f77df90006d24cd462
Dimensione: 641536 Bytes
VirIT: Trojan.Win32.PSWStealer.CHY

IOC:
862a0c97d4eb40f77df90006d24cd462

p://sharmasfabrics[.]com

PWStealer

 

0007354469010.exe

MD5: c707b57076788e9e3fff74f747e4f232
Dimensione: 602624 Bytes
VirIT: Trojan.Win32.PSWStealer.CHY
  
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 sas8-b61c542d7279.qloud-c.yandex[.]net -> 77.88.21.158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

IOC:
c707b57076788e9e3fff74f747e4f232

LokiBot

 

order PO# 2020060820.exe

MD5: a07faa4a118401c76a4a132640d0aa4a
Dimensione: 390656 Bytes
VirITTrojan.Win32.PSWStealer.CHZ

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • LinasFTP
  • MyFTP
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • Sherrod FTP
  • Staff-FTP
  • QupZilla
  • FoxMail
  • BlazeFTP
  • EasyFTP
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • DeluxeFTP
  • JaSFTP

IOC:
a07faa4a118401c76a4a132640d0aa4a

p://boeschboddenspies[.]com
p://alphastand[.]trade
p://kbfvzoboss[.]bid

Ursnif

  
conferma_847.xls
MD5: 7b2464a895b2f044da008bfada22c0bd
Dimensione: 205312 Bytes
VirIT: X97M.Ursnif.CIA

Il file excel una volta aperto tenta di scaricare il payload dell'Ursnif dal seguente indirizzo http://web.rpasfoundation[.]org, il sito in fase di analisi è risultato irraggiungibile.


IOC:

7b2464a895b2f044da008bfada22c0bd

p://web.rpasfoundation[.]org

17 luglio 2020

PWStealer

 

Catalogue list Specification and prices.pdf.exe

MD5: fb98db345b2fb2f6980adc99d127300d
Dimensione: 468992 Bytes
VirIT: Trojan.Win32.PSWStealer.CIA
  
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • OutlooK
La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 us2.outbound.mailhostbox[.]com -> 208.91.198[.]143 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@millndustries[.]com

IOC:
fb98db345b2fb2f6980adc99d127300d

FormBook

 

Nqvftcs.exe

MD5: ee5c7845d6fa10478c9c88848875bbbd
Dimensione: 679338 Bytes
VirITTrojan.Win32.Injector.CIA

IOC:
ee5c7845d6fa10478c9c88848875bbbd

p://wycomm[.]com


Consulta le campagne del mese di Giugno/Luglio

Vi invitiamo a consultare i report del mese di Giugno/Luglio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

04/07/2020 = Report settimanale delle campagne italiane di Malspam dal 04 luglio al 10 luglio 2020
27/06/2020 = Report settimanale delle campagne italiane di Malspam dal 27 giugno al 03 luglio 2020
20/06/2020 = Report settimanale delle campagne italiane di MalSpam dal 20 giugno al 26 giugno 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: