Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 19 settembre al 25 settembre 2020: Emotet, Ursnif, FormBook, LokiBot, AgentTesla, Matiex, NanoCore, XpertRAT, Avaddon, Remcos

INDICE

==> 21 settembre 2020 => Emotet (7), Ursnif (1), FormBook (3), LokiBot (1)

==> 22 settembre 2020 => Emotet (13), Ursnif (1), AgentTesla (3), Matiex (1), NanoCore (1), XpertRAT (1)

==> 23 settembre 2020 => Emotet (8), Ursnif (1), FormBook (2), LokiBot (1), AgentTesla (1), Matiex (1) Avaddon (1)

==> 24 settembre 2020 => Emotet (7), Remcos (1), XpertRAT (1)

==> 25 settembre 2020 => Emotet(4), Ursnif (1), Remcos(1)

==> Consulta le campagne del mese di Agosto/Settembre

Nella settimana corrente vi è stata lieve diminuzione delle campagne totali.
Continuano le campagne che veicolano il malware Emotet ed il trojan banker "Ursnif", inoltre vi è stata una campagna del ransomware Avaddon.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 160 le campagne che abbiamo monitorato, di cui 60 sono scritte in lingua italiana.

Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana	dal	al
Week_35	29/08	04/09
Week_36	05/09	11/09
Week_37	12/09	18/09
Week_38	19/09	25/09

Nella settimana corrente il picco totale delle campagne è stato mercoledì 23 settembre con 42 campagne di cui 15 italiane. Il picco delle campagne mirate ad utenti italiani è stato martedì 22 settembre con 20 campagne di malspam, come è evidenziato dal grafico riportato di seguito:

La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 45,00 % dei malware inviati via mail, seguito con il 16,88% di sample Delphi.
Il 30,63 % dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.

Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:

*Nella categoria JAR sono compresi i file JNLP

EMOTET

Durante la settimana monitorata le campagne malspam di Emotet sono state distribuite da lunedì 21 settembre a venerdì 25 settembre.

Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana, il picco è stato di 512 HASH differenti il mercoledì 23 settembre:

Nella settimana corrente le campagne di malspam di Emotet oltre al classico allegato DOC o Link sono state distribuite anche con allegati ZIP protetti da Password con all'interno il tipico file DOC.

Questa tecnica già sperimentata in passato viene utilizzata molto probabilmente per tentare di ridurre il blocco delle email da parte dei sistemi di AntiVirus ed AntiSpam.
Durante la settimana sono state riscontrate email che utilizzano la tecnica di thread hijacking contenenti testi rubati da importanti Enti/Società Italiane come ad esempio:

Comune di Bologna
Politecnico di Torino
CNR
ASL di Bari

Scarica il file di testo degli IOC delle campagne Emotet.

21 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.

Ursnif

comunicato_507.xls

MD5: 4DE5D8F817D99E2263F6DCB507703F21

Dimensione: 239616 Bytes

VirIT: X97M.Ursnif.CLK

[PAYLOAD URSNIF]

MD5: 0C47D472A69E47A50F5C4C794E8C4376

Dimensione: 472064 Bytes

VirIT: Trojan.Win32.Ursnif.CLK

Versione: 250154

Gruppo: 7220

Key: 10291029JSJUYNHG

Aprendo il file excel "comunicato_507.xls" viene avviata una macro che scarica il malware Ursnif dal sito line.stopcollectionharassment[.]com e provvede ad eseguire il payload.

IOC:
4DE5D8F817D99E2263F6DCB507703F21
0C47D472A69E47A50F5C4C794E8C4376

web.kundertviolas[.]com
line.stopcollectionharassment[.]com

FormBook

TFSLIPGGDB.exe

MD5: 428640D114842B018C86B88B3CEC296F

Dimensione: 688640 Bytes

VirIT: Trojan.Win32.Formbook.CLK

IOC:
428640D114842B018C86B88B3CEC296F

regulars6[.]com

LokiBot

Ordine Nr.2013914_210920.exe

MD5: CCA740CD1B2A012E9010E37F005D3FC6

Dimensione: 735232 Bytes

VirIT: Trojan.Win32.LokiBot.CLK

All'interno dell'archivio compresso "Ordine Nr.2013914_210920.iso" è presente il file "Ordine Nr.2013914_210920.exe" infetto dal password stealer LokiBot

Ruba le credenziali memorizzate attraverso i seguenti software:

Opera
SmartFTP
Chrome
UCBrowser
Firefox
Icecat
FileZilla
Waterfox
Postbox
BlackHawk
CoreFTP
IceDragon
FTP Navigator
Pale Moon
Cyberfox
Falkon
Thunderbird
Flock
K-Meleon
SeaMonkey
IncrediMail
Outlook
FlashFXP
FreshFTP
FTPGetter
FTP Navigator
DeluxeFTP
GoFTP
JaSFtp
NetDrive
NovaFTP
NppFTP
Odin Secure FTP
SecureFX
SftpNetDrive
Staff-FTP
SuperPutty
UltraFXP
NetSarang

IOC:
CCA740CD1B2A012E9010E37F005D3FC6

195.69.140[.]147

FormBook

HERE.exe

MD5: 82E8A5857EC0868F665B9D4F33B01A3E

Dimensione: 706560 Bytes

VirIT: Trojan.Win32.PSWStealer.CLK

All'interno dell'archivio compresso "HERE.rar" è presente il file "HERE.exe" infetto dal password stealer FormBook.

IOC:
82E8A5857EC0868F665B9D4F33B01A3E

work-from-home-today[.]com

FormBook

HQj0akWCMIXsTnI.exe

MD5: 135AF5543953F21387E502E96366216D

Dimensione: 723968 Bytes

VirIT: Trojan.Win32.PSWStealer.CLL

All'interno dell'archivio compresso "Copy.rar" è presente il file "HQj0akWCMIXsTnI.exe" infetto dal password stealer FormBook.

IOC:
135AF5543953F21387E502E96366216D

italotranslations[.]com

Torna ad inizio pagina

22 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.

Matiex

Spedizione.exe

MD5: 6152CC01E287B42A241FAD46D3965A39

Dimensione: 736768 Bytes

VirIT: Trojan.Win32.PSWStealer.CLM

IOC:
6152CC01E287B42A241FAD46D3965A39

freegeoip[.]app

Ursnif

228042.xlsm

MD5: 2CEFF8B0E8531386C6D064EE1DE609D7

Dimensione: 36064 Bytes

VirIT: X97M.Ursnif.CLM

[PAYLOAD URSNIF]

MD5: D2C8A83ABA96FE1636A5904CA8D34704

Dimensione: 513024 Bytes

VirIT: Trojan.Win32.Ursnif.CLM

Versione: 250154

Gruppo: 4343

Key: 21291029JSJUXMPP

Aprendo il file excel "228042 .xlsm" viene avviata una macro che scarica il malware Ursnif dal sito s://pagamentif24online[.]com e provvede ad eseguire il payload.

IOC:
2CEFF8B0E8531386C6D064EE1DE609D7
D2C8A83ABA96FE1636A5904CA8D34704

pagamentif24online[.]com
gestioneacquistionline[.]com

AgentTesla

pagamento_Pdf.exe
MD5: 994C2B46C2CE88F0056AC51FE9201F7F
Dimensione: 749056 Bytes

VirIT: Trojan.Win32.PSWStealer.CLM

IOC:

994C2B46C2CE88F0056AC51FE9201F7F

AgentTesla

Ordine Nr.2013914_220920.exe
MD5: 0F420201E23E57FD1600747D0812A6BC
Dimensione: 882668 Bytes

VirIT: Trojan.Win32.PSWStealer.CLM

All'interno dell'archivio compresso "Ordine Nr.2013914_220920.iso" è presente il file "Ordine Nr.2013914_220920.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:

Opera
SmartFTP
Chrome
UCBrowser
Firefox
Icecat
FileZilla
Waterfox
Postbox
BlackHawk
CoreFTP
IceDragon
FTP Navigator
Pale Moon
Cyberfox
Falkon
Thunderbird
Flock
K-Meleon
SeaMonkey
IncrediMail
Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: ww2.r2ceurope[.]com -> 185.69.232[.]50 Porta: 587

La mail a cui vengono inviati i dati: <NOT DISCLOSED>@solivera[.]com

IOC:

0F420201E23E57FD1600747D0812A6BC

AgentTesla

tiD57vHCdRkIA1a.exe
MD5: 9D0ECF5009084D5149A1E0769A86D0B9
Dimensione: 734208 Bytes

VirIT: Trojan.Win32.AgentTesla.CLN

All'interno dell'archivio compresso "Bonifico_2292020.ace" è presente il file "tiD57vHCdRkIA1a.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:

Opera
SmartFTP
Chrome
UCBrowser
Firefox
Icecat
FileZilla
Waterfox
Postbox
BlackHawk
CoreFTP
IceDragon
FTP Navigator
Pale Moon
Cyberfox
Falkon
Thunderbird
Flock
K-Meleon
SeaMonkey
IncrediMail
Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: iva8-6403930b9beb.qloud-c.yandex[.]net -> 77.88.21[.]158 Porta: 587

La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

IOC:

9D0ECF5009084D5149A1E0769A86D0B9

NanoCore

quotation.scr

MD5: E07AD4665291F37A1FBCEC72499477C8

Dimensione: 1428480 Bytes

VirIT: Trojan.Win32.PSWStealer.CLO

Window Security updating.exe

MD5: 1B8519476CD561A77DB887FC385DFAA6

Dimensione: 207360 Bytes

VirIT: Trojan.Win32.DownLoader12.BSON

IOC:
E07AD4665291F37A1FBCEC72499477C8
1B8519476CD561A77DB887FC385DFAA6

tcp.ngrok[.]io

XpertRAT

BONIFICO 22 09 20.exe

MD5: 006C1733B1648A1DF9478E62D67A074C

Dimensione: 702976 Bytes

VirIT: Trojan.Win32.PSWStealer.CLO

Il file eseguibile è scritto in C# e sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:

WebBrowserPassView
Mail PassView
MessenPass
Remote Desktop PassView

IOC:
006C1733B1648A1DF9478E62D67A074C

79.134.225[.]97
91.193.75[.]200

Torna ad inizio pagina

23 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.

FormBook

PY454NMF.exe

MD5: 815AEDA075760AC7A383E0ABDD595139

Dimensione: 750592 Bytes

VirIT: Trojan.Win32.PSWStealer.CLO

All'interno dell'archivio compresso "PY454NMF.rar" è presente il file "PY454NMF.exe" infetto dal password stealer FormBook.

IOC:
815AEDA075760AC7A383E0ABDD595139

enargiapetroleum[.]com

FormBook

SLIP.exe

MD5: 32CB2ED0BA80017C68EC3C95AA7A8E7F

Dimensione: 769024 Bytes

VirIT: Trojan.Win32.PSWStealer.CLO

All'interno dell'archivio compresso "SLIP.rar" è presente il file "SLIP.exe" infetto dal password stealer FormBook.

IOC:
32CB2ED0BA80017C68EC3C95AA7A8E7F

paintwithdrink[.]com

Ursnif

documento3_186.xls

MD5: 13483096672AFD938B722D9DAC9480FC

Dimensione: 226304 Bytes

VirIT: X97M.Ursnif.CLO

[PAYLOAD URSNIF]

MD5: 19A6785FE245B33B5B87091CC1D3A3FB

Dimensione: 118272 Bytes

VirIT: Trojan.Win32.Ursnif.CLO

Versione: 250154

Gruppo: 7221

Key: 10291029JSJUYNHG

Aprendo il file excel "documento3_186.xls" viene avviata una macro che scarica il malware Ursnif dal sito log.angelicabrown[.]com e provvede ad eseguire il payload.

IOC:
13483096672AFD938B722D9DAC9480FC
19A6785FE245B33B5B87091CC1D3A3FB

log.angelicabrown[.]com
web.citylimitshog[.]com

LokiBot

Ordine Nr.2013914 _230920.exe

MD5: CFB35972EF93A36F93FB854C49A0AFC0

Dimensione: 719872 Bytes

VirIT: Trojan.Win32.LokiBot.CLT

All'interno dell'archivio compresso "Ordine Nr.2013914 _230920.iso" è presente il file "Ordine Nr.2013914 _230920.exe" infetto dal password stealer LokiBot.

IOC:
CFB35972EF93A36F93FB854C49A0AFC0

195.69.140[.]147

Matiex

Spedizione.exe

MD5: 98ECC5C153B462672D73BA28570A5521

Dimensione: 950272 Bytes

VirIT: Trojan.Win32.PSWStealer.CLO

IOC:
98ECC5C153B462672D73BA28570A5521
freegeoip[.]app

AgentTesla

C.V.exe

MD5: A5B799532B9C08C70FFC3EA3DD002AFD

Dimensione: 477184 Bytes

VirIT: Trojan.Win32.PSWStealer.CLO

All'interno dell'archivio compresso "C.V.ace" è presente il file "C.V.exe" infetto dal password stealer AgentTesla

Ruba le credenziali memorizzate attraverso i seguenti software:

Opera
SmartFTP
Chrome
UCBrowser
Firefox
Icecat
FileZilla
Waterfox
Postbox
BlackHawk
CoreFTP
IceDragon
FTP Navigator
Pale Moon
Cyberfox
Falkon
Thunderbird
Flock
K-Meleon
SeaMonkey
IncrediMail
Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com -> 208.91.199[.]224 Porta: 587

La mail a cui vengono inviati i dati: <NOT DISCLOSED>@slnowon[.]com

IOC:
A5B799532B9C08C70FFC3EA3DD002AFD

Avaddon

copia della citazione ufficiale.xls

MD5: 23A02DE7E9BC2C7932622EAEFD74554F

Dimensione: 68096 Bytes

VirIT: X97M.Downloader.CLP

6CEA.exe

MD5: B2713B4441E2FE12E9F0CDE90817A827

Dimensione: 1768792 Bytes

VirIT: Ransom.Win32.Avaddon.CLP

La mail contiene un link che redirige ad un falso sito dell'Agenzia delle Entrate (vedi immagine sotto) che invita a scaricare un file excel protetto da password.
Aprendo l'excel viane attivata una MACRO che provvede a scaricare il Payload del CryptoMalware Avaddon.
Il CryptoMalware Avaddon cifra i dati dell'utente e chiede un riscatto per la decifratura.
Il riscatto richiesto da pagare in BitCoin è di 10000 USD pari a 8.592 € pari a circa 0,94 Bitcoin (valuta del 25/09/2020), il prezzo raddoppierà se non pagato entro 48h.

IOC:
23A02DE7E9BC2C7932622EAEFD74554F
B2713B4441E2FE12E9F0CDE90817A827
C993B8D7540F36A300B5B68AA5BDFC31
gestiondecorreo[.]info
s://agenziaentrate[.]digital

Torna ad inizio pagina

24 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.

Remcos

QuotesInv09172020.exe

MD5: EB6A4AAF60A0E49DAC519DA95D1777D9
Dimensione: 1087488 Bytes

VirIT: Trojan.Win32.Injector.CLR

All'interno dell'archivio compresso "QuotesInv09172020.iso" è presente il file "QuotesInv09172020.exe" infetto dal password stealer Remcos.

IOC:
EB6A4AAF60A0E49DAC519DA95D1777D9

incidencias6645.ddns[.]net
79.134.225.83

XpertRAT

24 09 20_BONIFICO_PDF.exe

MD5: 28C81A40D4075719F8FB2F523B241F7F

Dimensione: 725504 Bytes

VirIT: Trojan.Win32.PSWStealer.CLR

Il file eseguibile è scritto in C# e sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:

WebBrowserPassView
Mail PassView
MessenPass
Remote Desktop PassView

IOC:
28C81A40D4075719F8FB2F523B241F7F

79.134.225[.]97
91.193.75[.]200

Torna ad inizio pagina

25 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.

Ursnif

documento4_212.xls

MD5: 13722BF07B3BFFBCFF459413A023A651

Dimensione: 223232 Bytes

VirIT: X97M.Ursnif.CLS

[PAYLOAD URSNIF]

MD5: 2AF56C3DB87FDF4BB7C3DE1AC53D97B6

Dimensione: 146432 Bytes

VirIT: Trojan.Win32.Ursnif.CLS

Versione: 250154

Gruppo: 7223

Key: 10291029JSJUYNHG

Aprendo il file excel "documento4_212.xls" viene avviata una macro che scarica il malware Ursnif dal sito stats.idealfurnituregalleryny[.]com e provvede ad eseguire il payload.

IOC:
4DE5D8F817D99E2263F6DCB507703F21
0C47D472A69E47A50F5C4C794E8C4376

web.cindycrawfordgroup[.]com
stats.idealfurnituregalleryny[.]com

Remcos

Ricevuta di pagamento 87y954u88578989889899043908.exe

MD5: D2392BFDC4626A25DFE69DEE628C923C

Dimensione: 1026560 Bytes

VirIT: Trojan.Win32.PSWStealer.CLS

All'interno dell'archivio compresso "Ricevuta di pagamento.rar" è presente il file "Ricevuta di pagamento 87y954u88578989889899043908.exe" infetto dal password stealer Remcos.

IOC:
D2392BFDC4626A25DFE69DEE628C923C
incidencias6645.ddns[.]net
79.134.225[.]83

Consulta le campagne del mese di Agosto/Settembre

Vi invitiamo a consultare i report del mese di Agosto/Settembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

12/09/2020 = Report settimanale delle campagne italiane di Malspam dal 12 settembre al 18 settembre 2020

05/09/2020 = Report settimanale delle campagne italiane di Malspam dal 05 settembre al 11 settembre 2020
29/08/2020 = Report settimanale delle campagne italiane di MalSpam dal 29 agosto al 04 settembre 2020
22/08/2020 = Report settimanale delle campagne italiane di MalSpam dal 22 agosto al 28 agosto 2020

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Selected news item is not available in the requested language.

Italian language proposed.

2020W38 Report settimanale= > 19-25/09 2K20 campagne MalSpam target Italia

INDICE

EMOTET

21 settembre 2020

Emotet

Ursnif

FormBook

LokiBot

FormBook

FormBook

22 settembre 2020

Emotet

Matiex

Ursnif

AgentTesla

AgentTesla

AgentTesla

NanoCore

XpertRAT

23 settembre 2020

Emotet

FormBook

FormBook

Ursnif

LokiBot

Matiex

AgentTesla

Avaddon

24 settembre 2020

Emotet

Remcos

XpertRAT

25 settembre 2020

Emotet

Ursnif

Remcos

Consulta le campagne del mese di Agosto/Settembre

Vir.IT eXplorer PRO is certified by the biggest international organisation: