|
|
|
29/09/2020 10:05:52 - 2020W39 Report settimanale= > 26/09-02/10 2K20 campagne MalSpam target Italia
Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.
Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 26 settembre al 02 ottobre 2020: Emotet, Ursnif, AgentTesla, MassLogger, XpertRAT, OSTAP. FormBook
|
INDICE
==> 28 settembre 2020 => Emotet (7), AgentTesla(2), MassLogger(1), XpertRAT(1), OSTAP(1)
==> 29 settembre 2020 => Emotet (11), AgentTesla(2)
==> 30 settembre 2020 => Emotet (7), AgentTesla(2), MassLogger(1)
==> 01 ottobre 2020 => Emotet (3), Ursnif(1), AgentTesla(1), FormBook(1)
==> 02 ottobre 2020 => Ursnif(1), AgentTesla(1), Remcos(1)
==> Consulta le campagne del mese di Agosto/Settembre
|
Nella settimana corrente vi è stata lieve diminuzione delle campagne totali.
Continuano le campagne che veicolano il malware Emotet anche se in calo verso il fine settimana. Presente all'appello il trojan banker "Ursnif".
La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 148 le campagne che abbiamo monitorato, di cui 44 sono scritte in lingua italiana.
Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:
Settimana
|
dal |
al |
Week_36 |
05/09 |
11/09 |
Week_37 |
12/09 |
18/09 |
Week_38 |
19/09 |
25/09 |
Week_39 |
26/09 |
02/10 |
Nella settimana corrente il picco totale delle campagne è stato martedì 29 settembre con 49 campagne. Sempre nello stesso giorno si è riscontrato il picco delle campagne mirate ad utenti italiani con 13 campagne di malspam, come è evidenziato dal grafico riportato di seguito:
La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 45,27 % dei malware inviati via mail, seguito con il 14,19% di sample Delphi.
Il 31,67 % dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.
Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:
*Nella categoria JAR sono compresi i file JNLP
EMOTET
Durante la settimana monitorata le campagne malspam di Emotet sono state distribuite da lunedì 28 settembre a giovedì 01 ottobre.
Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.
In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana, il picco è stato di 514 HASH differenti il martedì 29 settembre:
Nella settimana corrente le campagne di malspam di Emotet oltre al classico allegato DOC o Link sono state distribuite anche con allegati ZIP protetti da Password con all'interno il tipico file DOC.
Scarica il file di testo degli IOC delle campagne Emotet.
haveibeenEMOTET
In settimana il C.R.A.M. di TG Soft ha reso disponibile il portale gratuito haveibeenEMOTET.
Attraverso questa piattaforma è possibile verificare se il proprio indirizzo email o il dominio è o è stato coinvolto nelle campagne di malspam del malware Emotet.
E' inoltre possibile verificare quali sono state le estensioni dei domini più colpite alla pagina delle statistiche.
Emotet
Vedi il paragrafo principale sul malware Emotet all'inizio.
AgentTesla
C.V.exe
MD5: FEFE34F93A3ED17BA4A45D33DBDB3261
Dimensione: 413696 Bytes
VirIT: Trojan.Win32.PSWStealer.CLU
All'interno dell'archivio compresso "CV.ace" è presente il file "CV.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com -> 208.91.198[.]143 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@slboercleaning[.]com
IOC:
FEFE34F93A3ED17BA4A45D33DBDB3261
MassLogger
doc20200928100024.js
MD5: 801381A005C0DDF120001339AA201174
Dimensione: 5292 Bytes
VirIT: Trojan.JS.Dropper.CLU
All'interno dell'archivio compresso "doc20200928100024.R04" è presente il file "doc20200928100024.js" che attraverso powershell scarica dal sito "medliner[.]gr/D11.jpg" in forma offuscata il Payload del Trojan Password Stealer MassLogger, una volta deoffuscato il malware viene caricato in memoria ed avviato.
Questa variante esfiltra i dati attraverso il server FTP: nankasa.com[.]ar
IOC:
801381A005C0DDF120001339AA201174
medliner[.]gr/D11.jpg
AgentTesla
HYTyBvCqA9Gh8K8.exe
MD5: D52F916350D4D368B63E8EAD67FE518C
Dimensione: 1011712 Bytes
VirIT: Trojan.Win32.Injector.CLU
All'interno dell'archivio compresso "ORDINE-2020-SUBM70N.ace" è presente il file "HYTyBvCqA9Gh8K8.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: vla5-e763f15c6769.qloud-c.yandex[.]net -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com
IOC:
D52F916350D4D368B63E8EAD67FE518C
XpertRAT
BONIFICO 25 09 20_PDF.exe
MD5: FF05AEF9AB76C8F7C5983A2CE3D4E02D
Dimensione: 954880 Bytes
VirIT: Trojan.Win32.PSWStealer.CLU
All'interno dell'archivio compresso "BONIFICO 25 09 20_PDF.gz" è presente il file "BONIFICO 25 09 20_PDF.exe" infetto dal password stealer AgentTesla
IOC:
FF05AEF9AB76C8F7C5983A2CE3D4E02D
79.134.225[.]97
OSTAP
fattura_98989539.doc
MD5: 45DFEB37B180D81BA5FBB5518DD94727
Dimensione: 991744 Bytes
VirIT: W97M.Downloader.CLV
PVDSOVSB.exe
MD5: 3720523EF42644B37BC895D47B1A5850
Dimensione: 269314 Bytes
VirIT: Trojan.Win32.Dropper.AHK
IOC:
45DFEB37B180D81BA5FBB5518DD94727
3720523EF42644B37BC895D47B1A5850
s://188.116.36[.]143
Emotet
Vedi il paragrafo principale sul malware Emotet all'inizio.
AgentTesla

CV.exe
MD5: BDED97B48B1970A296003F8CBC1AEBD0
Dimensione: 415232 Bytes
VirIT: Trojan.Win32.PSWStealer.CLW
All'interno dell'archivio compresso "CV.ace" è presente il file "CV.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com -> 208.91.198[.]143 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@slnowon[.]com
IOC:
BDED97B48B1970A296003F8CBC1AEBD0
AgentTesla
COVID-19 EYE DICTATOR WEB.exe
MD5: CF21B99B508220331B02E526DB1F91A4
Dimensione: 415232 Bytes
VirIT: Trojan.Win32.PSWStealer.CLY
All'interno dell'archivio compresso "COVID-19 EYE DICTATOR WEB.ace" è presente il file "COVID-19 EYE DICTATOR WEB.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com -> 208.91.199[.]224 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@slnowon[.]com
IOC:
CF21B99B508220331B02E526DB1F91A4
Emotet
Vedi il paragrafo principale sul malware Emotet all'inizio.
MassLogger
Listino_Richiesta[..]doc04361120200924113759.js
MD5: 3C6E786AA1A6A6806097098A36E9474F
Dimensione: 3425 Bytes
VirIT: Trojan.JS.Agent.CLY
All'interno dell'archivio compresso "doc04361120200924113759.R09" è presente il file "Listino_Richiesta[..]doc04361120200924113759.js" che attraverso powershell scarica dal sito "suite.kpechios[.]gr/Q8.jpg" in forma offuscata il Payload del Trojan Password Stealer MassLogger, una volta deoffuscato il malware viene caricato in memoria ed avviato.
Questa variante esfiltra i dati attraverso il server FTP: milebgd.mycpanel[.]rs
IOC:
3C6E786AA1A6A6806097098A36E9474F
suite.kpechios[.]gr/Q8.jpg
AgentTesla
LWO8M0Cad8Ow06h.exe
MD5: CFE93D8B755A21D57765479923358AE1
Dimensione: 807424 Bytes
VirIT: Trojan.Win32.PSWStealer.CLY
All'interno dell'archivio compresso "Ordine G7000350231007.ace" è presente il file "LWO8M0Cad8Ow06h.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: ee05250d997a.qloud-c.yandex[.]net -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com
IOC:
CFE93D8B755A21D57765479923358AE1
AgentTesla
CV.exe
MD5: 3D2C309C86C0A9535FA2A8D513E1759D
Dimensione: 408064 Bytes
VirIT: Trojan.Win32.PSWStealer.CLZ
All'interno dell'archivio compresso "CV.ace" è presente il file "CV.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com -> 208.91.199[.]223 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@slnowon[.]com
IOC:
3D2C309C86C0A9535FA2A8D513E1759D
Emotet
Vedi il paragrafo principale sul malware Emotet all'inizio.
Ursnif
certificazione1_735.xls
MD5: C4D31F1D70DA5A6326D5E7D4CC2A9731
Dimensione: 239104 Bytes
VirIT: X97M.Ursnif.CMA
[PAYLOAD URSNIF]
MD5: 1A8500A01BCA72CAFEE84EAEA7AEC186
Dimensione: 132608 Bytes
VirIT: Trojan.Win32.Ursnif.CMB
Versione: 250154 |
Gruppo: 7225 |
Key: 10291029JSJUYNHG |
Aprendo il file excel "certificazione1_735.xls" viene avviata una macro che scarica il malware Ursnif dal sito link.fixuppropertysolutions[.]com e provvede ad eseguire il payload.
IOC:
C4D31F1D70DA5A6326D5E7D4CC2A9731
1A8500A01BCA72CAFEE84EAEA7AEC186
link.fixuppropertysolutions[.]com
web.plainfielddentalcare[.]com
AgentTesla

ORDFOR00400101020.exe
MD5: BE93DAE9CD2C0FCA832512D40D9831F7
Dimensione: 844288 Bytes
VirIT: Trojan.Win32.PSWStealer.CMA
All'interno dell'archivio compresso "ORDFOR00400101020.iso" è presente il file "ORDFOR00400101020.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: srv12259.hostingserver[.]nl -> 81.4.96[.]210 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@solivera[.]com
IOC:
BE93DAE9CD2C0FCA832512D40D9831F7
FormBook
Confirm.exe
MD5: 25D706432A68E859F5077DDBC32AD080
Dimensione: 852480 Bytes
VirIT: Trojan.Win32.PSWStealer.CMB
All'interno dell'archivio compresso " Confirm.rar" è presente il file "Confirm.exe" infetto dal password stealer FormBook.
IOC:
25D706432A68E859F5077DDBC32AD080
regulars6[.]com
Emotet
Vedi il paragrafo principale sul malware Emotet all'inizio.
Ursnif
certificazione1_119.xls
MD5: 7C12A298FF954267F44BBA8F00D5DDD0
Dimensione: 241152 Bytes
VirIT: X97M.Ursnif.CMC
[PAYLOAD URSNIF]
MD5: 8917246255464C041BABE1B821D2441A
Dimensione: 165376 Bytes
VirIT: Trojan.Win32.Ursnif.CMC
Versione: 250154 |
Gruppo: 7225 |
Key: 10291029JSJUYNHG |
Aprendo il file excel "certificazione1_119.xls" viene avviata una macro che scarica il malware Ursnif dal sito link.fixuppropertysolutions[.]com e provvede ad eseguire il payload.
IOC:
7C12A298FF954267F44BBA8F00D5DDD0
8917246255464C041BABE1B821D2441A
link.fixuppropertysolutions[.]com
web.plainfielddentalcare[.]com
Remcos

OSMP_xxxx.exe
MD5: 97B22FAF712BEF3F99AD8CB0BF922871
Dimensione: 1038856 Bytes
VirIT: Trojan.Win32.PSWStealer.CMC
All'interno dell'archivio compresso " OSMP_xxxx.rar" è presente il file "OSMP_xxxx.exe" infetto dal password stealer Remcos.
IOC:
97B22FAF712BEF3F99AD8CB0BF922871
194.127.179[.]245
AgentTesla
ORDFOR00400101020.exe
MD5: BE93DAE9CD2C0FCA832512D40D9831F7
Dimensione: 844288 Bytes
VirIT: Trojan.Win32.PSWStealer.CMA
All'interno dell'archivio compresso " ORDFOR00400101020.iso" è presente il file "ORDFOR00400101020.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: srv12259.hostingserver[.]nl -> 81.4.96[.]210 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@solivera[.]com
IOC:
BE93DAE9CD2C0FCA832512D40D9831F7
Consulta le campagne del mese di Agosto/Settembre
Vi invitiamo a consultare i report del mese di Agosto/Settembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
Utilizzabilità delle informative e delle immagine in esse contenute
Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.
Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito
"Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"
|
|