Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.
Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 11 luglio al 17 luglio 2020: Ursnif, HawkEye, SLoad, FormBook, LokiBot, PWStealer
|
INDICE
==> 12 luglio 2020 => PWStealer
==> 13 luglio 2020 => SLoad, FormBook, PWStealer
==> 14 luglio 2020 => Ursnif, HawkEye, PWStealer
==> 15 luglio 2020 => PWStealer
==> 16 luglio 2020 => Ursnif, LokiBot, FormBook
==> 17 luglio 2020 => FormBook, PWStealer
==> Consulta le campagne del mese di Giugno/Luglio
|
Nella settimana corrente vi è stato un lieve calo delle campagne totali di malspam distribuite in Italia, rispetto alla settimana scorsa, come possiamo notare dal grafico di seguito, dove sono state confrontate le ultime 4 settimane. Vi è però un leggero incremento per quanto riguarda le campagne mirate ad utenti italiani.
La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 134 le campagne che abbiamo monitorato, di cui 20 sono scritte in lingua italiana.
Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:
Settimana
|
dal |
al |
Week_25 |
20/06 |
26/06 |
Week_26 |
27/06 |
03/07 |
Week_27 |
24/07 |
10/07 |
Week_28 |
11/07 |
17/07 |
Nella settimana corrente il picco delle campagne è stato mercoledì 15 luglio, con 38 campagne di cui 2 con messaggi rivolti direttamente ad utenti italiani, come è evidenziato dal grafico riportato di seguito.
Martedì 14 e giovedì 16 si è rilevato il maggior picco di invii mirati all'utenza italiana, con 6 differenti campagne.
La grande maggioranza dei sample che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 67,91% dei malware inviati via mail, seguito con il 15,67% di sample in Delphi.
L'11,19% dei sample distribuiti sono documenti di Office (Word, Excel), che scaricano altri malware, come ad esempio Ursnif.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.
Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:
Wanna Scream
In settimana si è osservato un attacco da parte del ransomware denominato
Wanna Scream.
Il vettore di attacco utilizzato dai CyberCriminali è stato l'accesso in RDP (
Remote Desktop Protocol) alla macchina colpita. L'accesso è avvenuto in tarda notte e dalle analisi svolte dal C.R.A.M. di TG Soft è stato identificato l'indirizzo IP dell'attaccante che risulta geolocalizzato in Germania.
Vediamo di seguito alcuni dettagli del sample analizzato:
winlogon.exe
MD5: 5EE633B41CA79B16DC9E02C35BD9D4D5
Dimensione: 29184 Bytes
VirIT:
Trojan.Win32.WannaScream.CHU
Il ransomware è stato scritto con il linguaggio
C# ed una volta avviato andrà ad eseguire le seguenti funzioni:
La funzione
save enumera i drive del sistema e poi invia una serie di informazioni al Server di C&C
http://recoverydata[.]merehosting[.]com/db come si può vedere dall'immagine:
Successivamente viene chiamata la funzione
StartUPAdd che si occupa di creare la persistenza del ransomware copiando il payload nella cartella di startup dell'utente ed inoltre lascia una copia delle istruzioni del riscatto:
In seguito vengono chiamate le funzioni
RunEncrypt e
SearchDisk che si occupano della cifratura dei file del computer:
La cifratura avviene attraverso la funzione
Encrypt. La funzione si occupa anche di lasciare copia delle istruzioni del riscatto [
ReadMe.txt ] e [
info.hta ] ed evita di cifrare i seguenti file:
- ReadMe.txt
- *.EL (estensione dei file già cifrati)
- info.hta
- BOOTNXT
- bootmgr
- BOOTSEC.BAK
- boot.sdi
- ReAgent.xml
- Winre.wim
- BOOTSTAT.DAT
Inoltre viene esclusa dalla cifratura la cartella C:\windows.
Ai nome dei file cifrati verrà aggiunto un codice ID che è stato generato dalla funzione
GetID seguito dalla email dei CyberCriminali e l'estensione
.EL un esempio della struttara del file cifrato è:
<nome file>.<estensione file>.[codice alfanumerico[getback25@protonmail.com].EL
Le mail dei CyberCriminali sono contenute all'interno della configurazione del ransomware. Un altro dei parametri contenuti nella configurazione è
Soldier che in questo sample ha come valore "
M-k " che fa presumere essere il codice identificativo dell'attaccante facendo ipotizzare un utilizzo RaaS ( Ransomware-as-a-service ):
L'ultima attività che viene eseguita da
Wanna Scream è la cancellazione delle shadow copy di Windows con la funzione
DeleteShadowCopy per evitare il possibile recupero dei file cifrati:
Vediamo di seguito le istruzioni del riscatto lasciate dal ransomware [ info.hta ] ed il contenuto del file [ ReadMe.txt ]
[+] All Your Files Have Been Encrypted [+]
[-] Do You Really Want To Restore Your Files?
[+] Write Us To The E-Mail : getback25@protonmail.com
[+] Write Us To The ID-Telegram : @Book545
[+] If you did not get any response until 24 hours later,Write to this E-Mail : decrypt52@protonmail.com
[-] Write Your Unique-ID In The Title Of Your Message.
[+] Unique-ID : < redacted > |
IOC:
5EE633B41CA79B16DC9E02C35BD9D4D5
p://recoverydata[.]merehosting[.]com
PWStealer
IS099853EDCOO.com
MD5: 4c8cc9b59cce6e95f78f11b135748bd8
Dimensione: 873824 Bytes
VirIT:
Trojan.Win32.PSWStealer.CHS
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: 250-mta-11.privateemail[.]com -> 198.54.122.60 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@granttools[.]xyz
IOC:
4c8cc9b59cce6e95f78f11b135748bd8
PWStealer
Italy_Ordine della Corte n. CAS 036886890678.exe
MD5: e9066a6c3f243cdb94085ef3ebb812ff
Dimensione: 432128 Bytes
VirIT:
Trojan.Win32.PackedNET.OJ
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 myt4-ee976ce519ac.qloud-c.yandex[.]net -> 77.88.21.158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]ru
IOC:
e9066a6c3f243cdb94085ef3ebb812ff
SLoad
Fatt_cliente_03790420230.vbs
MD5: 0a6d2e133f5e58a76a50ede866d982d0
Dimensione: 4316 Bytes
VirIT:
Trojan.VBS.SLoad.CHS
IOC:
0a6d2e133f5e58a76a50ede866d982d0
s://mynewbranch[.]com
s://pickpickict[.]com
s://peliculadeestreno[.]com
s://sirisms[.]com
s://mzgotech[.]com
s://sheyenneweber[.]com
s://lwyhef[.]eu
s://mzgotech[.]com
s://ponmer[.]eu
Formbook
R220917549.exe
MD5: 65e707bd6d53922eed2f27b35bd5355a
Dimensione: 945664 Bytes
VirIT:
Trojan.Win32.PSWStealer.CHT
IOC:
65e707bd6d53922eed2f27b35bd5355a
p://cayyoluhaliyikamaci[.]com
Ursnif
documento_884.xls
MD5: 44a891cb03c5addf255c194991189e9c
Dimensione: 187668 Bytes
VirIT:
X97M.Ursnif.CHU
[ PAYLOAD URSNIF ]
MD5: b99b8b8314c7e98cbc4dcab57b028c65
Dimensione: 145408 Bytes
VirIT: Trojan.Win32.Ursnif.CHU
Versione: 250154 |
Gruppo: 8984 |
Key: 10291029JSJUYNHG |
IOC:
44a891cb03c5addf255c194991189e9c
b99b8b8314c7e98cbc4dcab57b028c65
p://gstat.ineedcurbappeal[.]com
p://web.heartyian[.]com
HawkEye
Dettagli di spedizione.exe
MD5: 4e6c88000d39ba9b2970a38c06ad8954
Dimensione: 760832 Bytes
VirIT: Trojan.Win32.PSWStealer.CHU
Ruba le credenziali memorizzate attraverso i seguenti software:
- Operating System Intel Recovery
- WEB Browser Password Stealer
- Mail Messenger Password Stealer
- Internet Download Manager Stealer
- JDownloader Password Stealer
- WEB Browser Password Stealer
IOC:
4e6c88000d39ba9b2970a38c06ad8954
HawkEye
Pagamento.exe
MD5: 1bfa17fbb313ef26a2384e5ccbd846db
Dimensione: 760832 Bytes
VirIT:
Trojan.Win32.PSWStealer.CHU
Ruba le credenziali memorizzate attraverso i seguenti software:
- Operating System Intel Recovery
- WEB Browser Password Stealer
- Mail Messenger Password Stealer
- Internet Download Manager Stealer
- JDownloader Password Stealer
- WEB Browser Password Stealer
IOC:
1bfa17fbb313ef26a2384e5ccbd846db
Ursnif
59442 NEL4127115.xlsm
MD5: 235326560f595b807aa52df22e8d5e69
Dimensione: 40165 Bytes
VirIT:
X97M.Ursnif.CHU
[ PAYLOAD URSNIF ]
MD5: c674dce7a1511d76c2d36e4645b16682
Dimensione: 223232 Bytes
VirIT: Trojan.Win32.Ursnif.CHU
Versione: 250154 |
Gruppo: 4343 |
Key: 21291029JSJUXMPP |
IOC:
235326560f595b807aa52df22e8d5e69
c674dce7a1511d76c2d36e4645b16682
s://greenbuss[.]com
p://redflash[.]org
PWStealer
Ordine Ferroli n. 003915200714.exe
MD5: 1ebcd5a47b7949e94a863bbd3d52ff1d
Dimensione: 945664 Bytes
VirIT:
Trojan.Win32.PSWStealer.CHU
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: 220-ww2.r2ceurope[.]com -> 185.69.232.50 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@solivera[.]com
IOC:
1ebcd5a47b7949e94a863bbd3d52ff1d
PWStealer
FATTURA - IT811175508 - 640652591.exe
MD5: c4a48302f8a5fab5db34580e1e26007b
Dimensione: 738816 Bytes
VirIT:
Trojan.Win32.PSWStealer.CHV
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 vla3-3dd1bd6927b2.qloud-c.yandex[.]net -> 77.88.21.158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com
IOC:
c4a48302f8a5fab5db34580e1e26007b
PWStealer
FATTURA - IT811175508.exe
MD5: edd13c80ba1b07cde3dd9db290cdce82
Dimensione: 1150646 Bytes
VirIT: Trojan.Win32.Injector.CHW
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 sas1-e00c2743cdb8.qloud-c.yandex[.]net -> 7.88.21.158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com
IOC:
edd13c80ba1b07cde3dd9db290cdce82
PWStealer
Ordine N 345 19280 15-7-20.exe
MD5: e0878193ea0ee4f59ef6912f3d91557a
Dimensione: 764416 Bytes
VirIT: Trojan.Win32.PSWStealer.CHX
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: 220-ww2.r2ceurope[.]com -> 185.69.232.50 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@solivera[.]com
IOC:
e0878193ea0ee4f59ef6912f3d91557a
Ursnif
agenzia_entrate_666.xls
MD5: b2e266d1ed89e27fab0ac959b854d8e6
Dimensione: 194560 Bytes
VirIT:
X97M.Ursnif.CHY
[ PAYLOAD URSNIF ]
MD5: 34bd20df1ceca1bb66fa1c4907ac09e3
Dimensione: 206336 Bytes
VirIT: Trojan.Win32.Ursnif.CHY
Versione: 250154 |
Gruppo: 8985 |
Key: 10291029JSJUYNHG |
IOC:
b2e266d1ed89e27fab0ac959b854d8e6
34bd20df1ceca1bb66fa1c4907ac09e3
p://web.emergingsun[.]com
p://gstat.coneybucks[.]com
PWStealer
Brochure Ambrogio..io compressed.pdf.exe
MD5: e2f2e8da3a77c077a2b85919ff13d655
Dimensione: 583168 Bytes
VirIT: Trojan.Win32.PSWStealer.CHY
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 us2.outbound.mailhostbox[.]com -> 208.91.198.143 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@millndustries[.]com
IOC:
e2f2e8da3a77c077a2b85919ff13d655
FormBook
Copia veloce.exe
MD5: 862a0c97d4eb40f77df90006d24cd462
Dimensione: 641536 Bytes
VirIT: Trojan.Win32.PSWStealer.CHY
IOC:
862a0c97d4eb40f77df90006d24cd462
p://sharmasfabrics[.]com
PWStealer
0007354469010.exe
MD5: c707b57076788e9e3fff74f747e4f232
Dimensione: 602624 Bytes
VirIT: Trojan.Win32.PSWStealer.CHY
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 sas8-b61c542d7279.qloud-c.yandex[.]net -> 77.88.21.158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com
IOC:
c707b57076788e9e3fff74f747e4f232
LokiBot
order PO# 2020060820.exe
MD5: a07faa4a118401c76a4a132640d0aa4a
Dimensione: 390656 Bytes
VirIT:
Trojan.Win32.PSWStealer.CHZ
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
- LinasFTP
- MyFTP
- NovaFTP
- NppFTP
- Odin Secure FTP
- Sherrod FTP
- Staff-FTP
- QupZilla
- FoxMail
- BlazeFTP
- EasyFTP
- FlashFXP
- FreshFTP
- FTPGetter
- DeluxeFTP
- JaSFTP
IOC:
a07faa4a118401c76a4a132640d0aa4a
p://boeschboddenspies[.]com
p://alphastand[.]trade
p://kbfvzoboss[.]bid
Ursnif
conferma_847.xls
MD5: 7b2464a895b2f044da008bfada22c0bd
Dimensione: 205312 Bytes
Il file excel una volta aperto tenta di scaricare il payload dell'Ursnif dal seguente indirizzo http://web.rpasfoundation[.]org, il sito in fase di analisi è risultato irraggiungibile.
IOC:
7b2464a895b2f044da008bfada22c0bd
p://web.rpasfoundation[.]org
PWStealer
Catalogue list Specification and prices.pdf.exe
MD5: fb98db345b2fb2f6980adc99d127300d
Dimensione: 468992 Bytes
VirIT: Trojan.Win32.PSWStealer.CIA
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- OutlooK
La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 us2.outbound.mailhostbox[.]com -> 208.91.198[.]143 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@millndustries[.]com
IOC:
fb98db345b2fb2f6980adc99d127300d
FormBook
Nqvftcs.exe
MD5: ee5c7845d6fa10478c9c88848875bbbd
Dimensione: 679338 Bytes
VirIT: Trojan.Win32.Injector.CIA
IOC:
ee5c7845d6fa10478c9c88848875bbbd
p://wycomm[.]com
Consulta le campagne del mese di Giugno/Luglio
Vi invitiamo a consultare i report del mese di Giugno/Luglio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
27/06/2020 =
Report settimanale delle campagne italiane di Malspam dal 27 giugno al 03 luglio 2020
20/06/2020 =
Report settimanale delle campagne italiane di MalSpam dal 20 giugno al 26 giugno 2020
C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft