29/09/2020
10:05

2020W39 Report settimanale= > 26/09-02/10 2K20 campagne MalSpam target Italia

Malware veicolati attraverso le campagne: Emotet, Ursnif, AgentTesla, MassLogger, XpertRAT, OSTAP, FormBook
       
week39

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 26 settembre al 02 ottobre 2020: Emotet, Ursnif, AgentTesla, MassLogger, XpertRAT, OSTAP. FormBook

INDICE

==> 28 settembre 2020 => Emotet (7), AgentTesla(2), MassLogger(1), XpertRAT(1), OSTAP(1)

==> 29 settembre 2020 => Emotet (11), AgentTesla(2)

==> 30 settembre 2020 => Emotet (7), AgentTesla(2), MassLogger(1)

==> 01 ottobre 2020 => Emotet (3), Ursnif(1), AgentTesla(1), FormBook(1)

==> 02 ottobre 2020 => Ursnif(1), AgentTesla(1), Remcos(1)
             
==> Consulta le campagne del mese di Agosto/Settembre

Nella settimana corrente vi è stata lieve diminuzione delle campagne totali.
Continuano le campagne che veicolano il malware Emotet anche se in calo verso il fine settimana. Presente all'appello il trojan banker "Ursnif".

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 148 le campagne che abbiamo monitorato, di cui 44 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
 dal al
Week_36 05/09 11/09
Week_37 12/09 18/09
Week_38 19/09 25/09
Week_39 26/09 02/10


Nella settimana corrente il picco totale delle campagne è stato martedì 29 settembre con 49 campagne. Sempre nello stesso giorno si è riscontrato il picco delle campagne mirate ad utenti italiani con 13 campagne di malspam, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 45,27 % dei malware inviati via mail, seguito con il 14,19% di sample Delphi.
Il 31,67 % dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

EMOTET


Durante la settimana monitorata le campagne malspam di Emotet sono state distribuite da lunedì 28 settembre a giovedì 01 ottobre.

Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana, il picco è stato di 514 HASH differenti il martedì 29 settembre:



 
Nella settimana corrente le campagne di malspam di Emotet oltre al classico allegato DOC o Link sono state distribuite anche con allegati ZIP protetti da Password con all'interno il tipico file DOC.

Scarica il file di testo degli IOC delle campagne Emotet.


haveibeenEMOTET



In settimana il C.R.A.M. di TG Soft ha reso disponibile il portale gratuito haveibeenEMOTET.

Attraverso questa piattaforma è possibile verificare se il proprio indirizzo email o il dominio è o è stato coinvolto nelle campagne di malspam del malware Emotet.

E' inoltre possibile verificare quali sono state le estensioni dei domini più colpite alla pagina delle statistiche.
 


28 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


AgentTesla

 
 
C.V.exe
MD5FEFE34F93A3ED17BA4A45D33DBDB3261
Dimensione: 413696 Bytes
VirITTrojan.Win32.PSWStealer.CLU

All'interno dell'archivio compresso "CV.ace" è presente il file "CV.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com  -> 208.91.198[.]143 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@slboercleaning[.]com

IOC:
FEFE34F93A3ED17BA4A45D33DBDB3261

MassLogger

 
 
doc20200928100024.js
MD5801381A005C0DDF120001339AA201174
Dimensione: 5292 Bytes
VirITTrojan.JS.Dropper.CLU
All'interno dell'archivio compresso "doc20200928100024.R04" è presente il file "doc20200928100024.js" che attraverso powershell scarica dal sito "medliner[.]gr/D11.jpg" in forma offuscata il Payload del Trojan Password Stealer MassLogger, una volta deoffuscato il malware viene caricato in memoria ed avviato.

Questa variante esfiltra i dati attraverso il server FTP: nankasa.com[.]ar

IOC:
801381A005C0DDF120001339AA201174
medliner[.]gr/D11.jpg

AgentTesla

 
 
HYTyBvCqA9Gh8K8.exe
MD5D52F916350D4D368B63E8EAD67FE518C
Dimensione: 1011712 Bytes
VirITTrojan.Win32.Injector.CLU

All'interno dell'archivio compresso "ORDINE-2020-SUBM70N.ace" è presente il file "HYTyBvCqA9Gh8K8.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: vla5-e763f15c6769.qloud-c.yandex[.]net  -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com
IOC:
D52F916350D4D368B63E8EAD67FE518C

XpertRAT

 
BONIFICO 25 09 20_PDF.exe
MD5FF05AEF9AB76C8F7C5983A2CE3D4E02D
Dimensione: 954880 Bytes
VirITTrojan.Win32.PSWStealer.CLU

All'interno dell'archivio compresso "BONIFICO 25 09 20_PDF.gz" è presente il file "BONIFICO 25 09 20_PDF.exe" infetto dal password stealer AgentTesla

IOC:
FF05AEF9AB76C8F7C5983A2CE3D4E02D
79.134.225[.]97

OSTAP

 
fattura_98989539.doc
MD545DFEB37B180D81BA5FBB5518DD94727
Dimensione: 991744 Bytes
VirITW97M.Downloader.CLV
PVDSOVSB.exe
MD53720523EF42644B37BC895D47B1A5850
Dimensione: 269314 Bytes
VirITTrojan.Win32.Dropper.AHK

IOC:
45DFEB37B180D81BA5FBB5518DD94727
3720523EF42644B37BC895D47B1A5850
s://188.116.36[.]143


Torna ad inizio pagina
 


29 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


AgentTesla

 
CV.exe
MD5BDED97B48B1970A296003F8CBC1AEBD0
Dimensione: 415232 Bytes
VirITTrojan.Win32.PSWStealer.CLW

All'interno dell'archivio compresso "CV.ace" è presente il file "CV.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com  -> 208.91.198[.]143 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@slnowon[.]com

IOC:
BDED97B48B1970A296003F8CBC1AEBD0

AgentTesla

 
COVID-19 EYE DICTATOR WEB.exe
MD5CF21B99B508220331B02E526DB1F91A4
Dimensione: 415232 Bytes
VirITTrojan.Win32.PSWStealer.CLY

All'interno dell'archivio compresso "COVID-19 EYE DICTATOR WEB.ace" è presente il file "COVID-19 EYE DICTATOR WEB.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com  -> 208.91.199[.]224 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@slnowon[.]com

IOC:
CF21B99B508220331B02E526DB1F91A4

 

 
 

30 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


MassLogger

 
 
Listino_Richiesta[..]doc04361120200924113759.js
MD53C6E786AA1A6A6806097098A36E9474F
Dimensione: 3425 Bytes
VirITTrojan.JS.Agent.CLY
All'interno dell'archivio compresso "doc04361120200924113759.R09" è presente il file "Listino_Richiesta[..]doc04361120200924113759.js" che attraverso powershell scarica dal sito "suite.kpechios[.]gr/Q8.jpg" in forma offuscata il Payload del Trojan Password Stealer MassLogger, una volta deoffuscato il malware viene caricato in memoria ed avviato.

Questa variante esfiltra i dati attraverso il server FTP: milebgd.mycpanel[.]rs

IOC:
3C6E786AA1A6A6806097098A36E9474F
suite.kpechios[.]gr/Q8.jpg

AgentTesla

 
LWO8M0Cad8Ow06h.exe
MD5CFE93D8B755A21D57765479923358AE1
Dimensione: 807424 Bytes
VirITTrojan.Win32.PSWStealer.CLY

All'interno dell'archivio compresso "Ordine G7000350231007.ace" è presente il file "LWO8M0Cad8Ow06h.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: ee05250d997a.qloud-c.yandex[.]net   -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

IOC:
CFE93D8B755A21D57765479923358AE1

AgentTesla

 
CV.exe
MD53D2C309C86C0A9535FA2A8D513E1759D
Dimensione: 408064 Bytes
VirITTrojan.Win32.PSWStealer.CLZ

All'interno dell'archivio compresso "CV.ace" è presente il file "CV.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

 
La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com  -> 208.91.199[.]223 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@slnowon[.]com

IOC:
3D2C309C86C0A9535FA2A8D513E1759D
 
 

01 ottobre 2020

 Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.

Ursnif

 
 
certificazione1_735.xls
MD5C4D31F1D70DA5A6326D5E7D4CC2A9731
Dimensione: 239104 Bytes
VirITX97M.Ursnif.CMA
[PAYLOAD URSNIF]
MD51A8500A01BCA72CAFEE84EAEA7AEC186
Dimensione: 132608 Bytes
VirITTrojan.Win32.Ursnif.CMB
Versione: 250154
Gruppo: 7225
Key: 10291029JSJUYNHG


Aprendo il file excel "certificazione1_735.xls" viene avviata una macro che scarica il malware Ursnif dal sito link.fixuppropertysolutions[.]com e provvede ad eseguire il payload.

IOC:
C4D31F1D70DA5A6326D5E7D4CC2A9731
1A8500A01BCA72CAFEE84EAEA7AEC186
link.fixuppropertysolutions[.]com
web.plainfielddentalcare[.]com

AgentTesla

 
ORDFOR00400101020.exe
MD5BE93DAE9CD2C0FCA832512D40D9831F7
Dimensione: 844288 Bytes
VirITTrojan.Win32.PSWStealer.CMA

All'interno dell'archivio compresso "ORDFOR00400101020.iso" è presente il file "ORDFOR00400101020.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

 
La mail con le credenziali rubate viene inviata attraverso il server smtp: srv12259.hostingserver[.]nl  -> 81.4.96[.]210 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@solivera[.]com

IOC:
BE93DAE9CD2C0FCA832512D40D9831F7

FormBook

 
Confirm.exe
MD525D706432A68E859F5077DDBC32AD080
Dimensione: 852480 Bytes
VirITTrojan.Win32.PSWStealer.CMB

All'interno dell'archivio compresso "Confirm.rar" è presente il file "Confirm.exe" infetto dal password stealer FormBook.

IOC:
25D706432A68E859F5077DDBC32AD080
regulars6[.]com
 
 

02 ottobre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


Ursnif

 
 
certificazione1_119.xls
MD57C12A298FF954267F44BBA8F00D5DDD0
Dimensione: 241152 Bytes
VirITX97M.Ursnif.CMC
[PAYLOAD URSNIF]
MD58917246255464C041BABE1B821D2441A
Dimensione: 165376 Bytes
VirITTrojan.Win32.Ursnif.CMC
Versione: 250154
Gruppo: 7225
Key: 10291029JSJUYNHG


Aprendo il file excel "certificazione1_119.xls" viene avviata una macro che scarica il malware Ursnif dal sito link.fixuppropertysolutions[.]com e provvede ad eseguire il payload.

IOC:
7C12A298FF954267F44BBA8F00D5DDD0
8917246255464C041BABE1B821D2441A
link.fixuppropertysolutions[.]com
web.plainfielddentalcare[.]com

Remcos

 
OSMP_xxxx.exe
MD597B22FAF712BEF3F99AD8CB0BF922871
Dimensione: 1038856 Bytes
VirITTrojan.Win32.PSWStealer.CMC

All'interno dell'archivio compresso "OSMP_xxxx.rar" è presente il file "OSMP_xxxx.exe" infetto dal password stealer Remcos.

IOC:
97B22FAF712BEF3F99AD8CB0BF922871
194.127.179[.]245

AgentTesla

 
ORDFOR00400101020.exe
MD5BE93DAE9CD2C0FCA832512D40D9831F7
Dimensione: 844288 Bytes
VirITTrojan.Win32.PSWStealer.CMA

All'interno dell'archivio compresso "ORDFOR00400101020.iso" è presente il file "ORDFOR00400101020.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

 
La mail con le credenziali rubate viene inviata attraverso il server smtp: srv12259.hostingserver[.]nl  -> 81.4.96[.]210 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@solivera[.]com

IOC:
BE93DAE9CD2C0FCA832512D40D9831F7
 

Consulta le campagne del mese di Agosto/Settembre

Vi invitiamo a consultare i report del mese di Agosto/Settembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
19/09/2020 = Report settimanale delle campagne italiane di Malspam dal 19 settembre al 25 settembre 2020
12/09/2020 = Report settimanale delle campagne italiane di Malspam dal 12 settembre al 18 settembre 2020
05/09/2020 = Report settimanale delle campagne italiane di MalSpam dal 05 settembre al 11 settembre 2020
29/08/2020 = Report settimanale delle campagne italiane di MalSpam dal 29 agosto al 04 settembre 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: