|
|
|
07/10/2020 09:33:34 - 2020W40 Report settimanale= > 03-09/10 2K20 campagne MalSpam target Italia
|
Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.
Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 03 ottobre al 09 ottobre 2020: Ursnif, AgentTesla, MassLogger, QakBot, FormBook, LokiBot, Dharma, Remcos
|
INDICE
==> 03 ottobre 2020 => FormBook (1)
==> 05 ottobre 2020 => MassLogger (1), AgentTesla (2), LokiBot (1), QakBot (1)
==> 06 ottobre 2020 => Ursnif (2), MassLogger (1), AgentTesla (1), Dharma (1)
==> 07 ottobre 2020 => LokiBot (1), Ursnif (1), FormBook (1)
==> 08 ottobre 2020 => LokiBot (1), Remcos (1), MassLogger (1)
==> Consulta le campagne del mese di Settembre
|
Nella settimana corrente vi è stata un calo delle campagne totali.
Grande assente della settimana il trojan Emotet. Continuano le campagne del trojan banker "Ursnif" accompagnato da una varietà di altri PasswordStealer e di una campagna che veicola il Crypto-Malware Dharma.
La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 116 le campagne che abbiamo monitorato, di cui 17 sono scritte in lingua italiana.
Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:
Settimana
|
dal |
al |
| Week_37 |
12/09 |
18/09 |
| Week_38 |
19/09 |
25/09 |
| Week_39 |
26/09 |
02/10 |
| Week_40 |
03/10 |
09/10 |
Nella settimana corrente il picco totale delle campagne è stato mercoledì 07 ottobre con 27 campagne. A pari merito con 5 campagne rivolte ad utenti italiani troviamo il giorno lunedì 05 ottobre e martedì 06 ottobre, come è evidenziato dal grafico riportato di seguito:
La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 65,52 % dei malware inviati via mail, seguito con il 14,67% di sample Delphi.
Il 14,66 % dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.
Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:
*Nella categoria JAR sono compresi i file JNLP
EMOTET
Durante la settimana monitorata le campagne malspam di Emotet non sono state distribuite.
Non è noto al momento il motivo dell'interruzione delle attività di spamming.
FormBook
Confirmation copy.exe
MD5: 371758C331D4748CA194F4F5A1564AF9
Dimensione: 840192 Bytes
VirIT: Trojan.Win32.PSWStealer.CME
All'interno dell'archivio compresso "Confirmation copy.rar" è presente il file Confirmation copy.exe" infetto dal password stealer FormBook.
IOC:
371758C331D4748CA194F4F5A1564AF9
178416[.]com
MassLogger
Listino prezzi DDT application num _05-OCT_2020.exe
MD5: 91D5FF16964BEE03F0C266873512ABB7
Dimensione: 11776 Bytes
VirIT: Trojan.Win32.PSWStealer.CME
All'interno dell'archivio compresso "ACF.28668_DPJ202001268128.R08" è presente il file "Listino prezzi DDT application num _05-OCT_2020.exe" che attraverso powershell scarica dal sito "studiosound[.]gr/F9.jpg" in forma offuscata il Payload del Trojan Password Stealer MassLogger, una volta deoffuscato il malware viene caricato in memoria ed avviato.
IOC:
91D5FF16964BEE03F0C266873512ABB7
akinitaviotias[.]gr
studiosound[.]gr
AgentTesla
RICHIESTA DI OFFERTA_pdf.exe
MD5: CC2A2B3DD2B76285A525FCE60D2EC4CC
Dimensione: 933888 Bytes
VirIT: Trojan.Win32.PSWStealer.CMF
All'interno dell'archivio compresso "RICHIESTA DI OFFERTA_pdf.z" è presente il file "RICHIESTA DI OFFERTA_pdf.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: truster-11.webhosting4[.]net -> 185.171.186[.]13 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@nordpharm[.]ro
IOC:
CC2A2B3DD2B76285A525FCE60D2EC4CC
LokiBot
inps circolare 115 2020.exe
MD5: 28DF0FBD782B0DEF9A304FFDE884EA51
Dimensione: 705536 Bytes
VirIT: Trojan.Win32.PSWStealer.CMF
All'interno dell'archivio compresso "inps circolare 115 2020.iso" è presente il file "inps circolare 115 2020.exe" infetto dal password stealer LokiBot.
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
- FlashFXP
- FreshFTP
- FTPGetter
- FTP Navigator
- DeluxeFTP
- GoFTP
- JaSFtp
- NetDrive
- NovaFTP
- NppFTP
- Odin Secure FTP
- SecureFX
- SftpNetDrive
- Staff-FTP
- SuperPutty
- UltraFXP
- NetSarang
IOC:
D52F916350D4D368B63E8EAD67FE518C
195.69.140[.]147
AgentTesla
Fd2jg3z48FntHP9.exe
MD5: 13973110E30FE5A447BD646C2BFB1354
Dimensione: 1009664 Bytes
VirIT: Trojan.Win32.PSWStealer.CMF
All'interno dell'archivio compresso "ORDINE-2020-SUBM70N.zip" è presente il file "Fd2jg3z48FntHP9.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: iva4-bca95d3b11b1.qloud-c.yandex[.]net -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com
IOC:
13973110E30FE5A447BD646C2BFB1354
QakBot
Complaint_184769014_10022020.xls
MD5: D80C816193CCBF4693D87677090B567E
Dimensione: 71680 Bytes
VirIT: X97M.Downloader.CMF
Fikol.exe
MD5: 42B7774895B2E57B9F274AD7F0331C84
Dimensione: 1017320 Bytes
VirIT: Trojan.Win32.QakBot.CMG
L'archivio ZIP allegato alla mail contiene il file excel "Complaint_184769014_10022020.xls" che se aperto attraverso una macro scarica ed esegue il malware QakBot.
IOC:
D80C816193CCBF4693D87677090B567E
42B7774895B2E57B9F274AD7F0331C84
alliance-oilfield[.]com
Ursnif
certificazione3_504.xls
MD5: 22DD6161E244C3FDEBED9DA2FEF4F6F1
Dimensione: 119808 Bytes
VirIT: X97M.Ursnif.CMG
[PAYLOAD URSNIF]
MD5: 3550FD3262A040CCFB0604966669D970
Dimensione: 173056 Bytes
VirIT: Trojan.Win32.Ursnif.CMG
| Versione: 250161 |
| Gruppo: 7226 |
| Key: 10291029JSJUYNHG |
Aprendo il file excel "certificazione1_735.xls" viene avviata una macro che scarica il malware Ursnif dal sito link.hybridcorehomescc[.]com e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: web.synizstore[.]com
IOC:
22DD6161E244C3FDEBED9DA2FEF4F6F1
3550FD3262A040CCFB0604966669D970
web.synizstore[.]com
link.hybridcorehomescc[.]com
Dharma
Quietanza_60GG.doc
MD5: B4C8E305D593E7FCC7CD6CD81CA75FB9
Dimensione: 334848 Bytes
VirIT: W97M.Downloader.CMG
j.exe
MD5: AA207B69A8F20DBD21DCA9AB1431007F
Dimensione: 372224 Bytes
VirIT: Ransom.Win32.Dharma.CMK
All'interno del file Word presente nell'allegato dell mail, si trova una Macro che una volta eseguita, effettua un collegamento al sito Web nutrilatuamente[.]it scaricando ed eseguendo uno script powershell che effettuerà un ulteriore collegamento al sito scaricando il payload del CryptoMalware Dharma.
Una volta aver cifrato i file della vittima, sullo schermo vengono visualizzate le istruzioni del riscatto:
Sotto riportiamo una sequenza di codice trovata all'interno del dump dalla quale possiamo dedurre che la campagna ha come target gli utenti italiani:
IOC:
B4C8E305D593E7FCC7CD6CD81CA75FB9
AA207B69A8F20DBD21DCA9AB1431007F
nutrilatuamente[.]it
MassLogger
doc04361120200924113713.chm
MD5: 9DA97E2C386505B35A4549304FDEC552
Dimensione: 11321 Bytes
VirIT: Trojan.CHM.Dropper.AG
All'interno dell'archivio compresso "doc04361120200924113713.R13" è presente il file "doc04361120200924113713.chm" che attraverso powershell scarica dal sito "modestinos2[.]com/R7.jpg" in forma offuscata il Payload del Trojan Password Stealer MassLogger, una volta deoffuscato il malware viene caricato in memoria ed avviato.
IOC:
9DA97E2C386505B35A4549304FDEC552
modestinos2[.]com
akinitaviotias[.]gr
Ursnif
Fattura_70992.xlsm
MD5: 7A5B3D785E849E2D6EDE5DEA232FFCBB
Dimensione: 32216 Bytes
VirIT: X97M.Ursnif.CMH
[PAYLOAD URSNIF]
MD5: E7745B45B381FCAC79A8C615D91F3C3B
Dimensione: 226304 Bytes
VirIT: Trojan.Win32.Ursnif.CMH
| Versione: 250161 |
| Gruppo: 4343 |
| Key: 21291029JSJUXMPP |
Aprendo il file excel "Fattura_70992.xlsm" viene avviata una macro che scarica il malware Ursnif dal sito notificaritardipagamentof24[.]com e provvede ad eseguire il payload.
Il malware Ursnif si collega al suo server di Comando & Controllo: santaliny[.]net
IOC:
7A5B3D785E849E2D6EDE5DEA232FFCBB
E7745B45B381FCAC79A8C615D91F3C3B
notificaritardipagamentof24[.]com
santaliny[.]net
AgentTesla
proforma inv 6720_pdf.exe
MD5: 7C8CDA88A2EF2875548729232383F52A
Dimensione: 813568 Bytes
VirIT: Trojan.Win32.PSWStealer.CMH
All'interno dell'archivio compresso "proforma inv 6720_pdf.gz" è presente il file "proforma inv 6720_pdf.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
- Opera
- SmartFTP
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com -> 208.91.199[.]223 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@dachanq[.]cc
IOC:
7C8CDA88A2EF2875548729232383F52A
LokiBot
20OF2032-0100720.exe
MD5: 1AEFFDD4F27BD95CE72B5D5A189E444F
Dimensione: 599040 Bytes
VirIT: Trojan.Win32.LokiBot.CMI
All'interno dell'archivio compresso "20OF2032-0100720.iso" è presente il file "20OF2032-0100720.exe" infetto dal password stealer LokiBot.
Ruba le credenziali memorizzate attraverso i seguenti software:
- SmartFTP
- Opera
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
- FlashFXP
- FreshFTP
- FTPGetter
- FTP Navigator
- DeluxeFTP
- GoFTP
- JaSFtp
- NetDrive
- NovaFTP
- NppFTP
- Odin Secure FTP
- SecureFX
- SftpNetDrive
- Staff-FTP
- SuperPutty
- UltraFXP
- NetSarang
IOC:
1AEFFDD4F27BD95CE72B5D5A189E444F
195.69.140[.]147
Ursnif
certificato_267.xls
MD5: 1D74C83B5D9D11285308E1FBB61B0322
Dimensione: 215040 Bytes
VirIT: X97M.Ursnif.CMJ
[PAYLOAD URSNIF]
MD5: F83C833AD49D22F66FEBBDA472B1399E
Dimensione: 153600 Bytes
VirIT: Trojan.Win32.Ursnif.CMG
| Versione: 250161 |
| Gruppo: 7226 |
| Key: 10291029JSJUYNHG |
Aprendo il file excel "certificato_267.xls" viene avviata una macro che scarica il malware Ursnif dal sito line.republicpracticesolutions[.]com e provvede ad eseguire il payload.
Il malware Ursnif si collega al server di Comando & Controllo: web.synizstore[.]com
IOC:
1D74C83B5D9D11285308E1FBB61B0322
F83C833AD49D22F66FEBBDA472B1399E
web.synizstore[.]com
line.republicpracticesolutions[.]com
FormBook
77SEDSSS.exe
MD5: B31B9A9883AB4ED82760D3B6F33CB42F
Dimensione: 737280 Bytes
VirIT: Trojan.Win32.PSWStealer.CMK
All'interno dell'archivio compresso "Confirmation copy.rar" è presente il file Confirmation copy.exe" infetto dal password stealer FormBook.
IOC:
B31B9A9883AB4ED82760D3B6F33CB42F
creditoefectivo[.]info
LokiBot
inps circolare 115 2020.exe
MD5: ACB9F9A31D484C6038FA89AABDFDA03B
Dimensione: 722432 Bytes
VirIT: Trojan.Win32.PSWStealer.CMK
All'interno dell'archivio compresso "inps circolare 115 2020.iso" è presente il file "inps circolare 115 2020.exe" infetto dal password stealer LokiBot.
Ruba le credenziali memorizzate attraverso i seguenti software:
- SmartFTP
- Opera
- Chrome
- UCBrowser
- Firefox
- Icecat
- FileZilla
- Waterfox
- Postbox
- BlackHawk
- CoreFTP
- IceDragon
- FTP Navigator
- Pale Moon
- Cyberfox
- Falkon
- Thunderbird
- Flock
- K-Meleon
- SeaMonkey
- IncrediMail
- Outlook
- FlashFXP
- FreshFTP
- FTPGetter
- FTP Navigator
- DeluxeFTP
- GoFTP
- JaSFtp
- NetDrive
- NovaFTP
- NppFTP
- Odin Secure FTP
- SecureFX
- SftpNetDrive
- Staff-FTP
- SuperPutty
- UltraFXP
- NetSarang
IOC:
ACB9F9A31D484C6038FA89AABDFDA03B
195.69.140[.]147
Remcos
ESTRATTO CONTO DHL-1301383112.exe
MD5: 234C7ED18A7EA1B5ADA06BAD5388CF3F
Dimensione: 1221110 Bytes
VirIT: Trojan.Win32.Remcos.CMK
All'interno dell'archivio compresso "inps circolare 115 2020.iso" è presente il file "inps circolare 115 2020.exe" infetto dal password stealer Remcos.
Il malware si collega al server di Comando & Controllo: incidencias6645[.]ddns[.]net -> 79.134.225[.]83 Porta: 8638
IOC:
234C7ED18A7EA1B5ADA06BAD5388CF3F
incidencias6645[.]ddns[.]net
79.134.225[.]83
MassLogger
FV00620224400 009384766589.exe
MD5: A5DF1E5FD71FC28D63D9DA7242841777
Dimensione: 916992 Bytes
VirIT: Trojan.Win32.Injector.CMK
All'interno dell'archivio compresso "FV00620224400 009384766589.r15" è presente il file "FV00620224400 009384766589.exe" infetto dal password stealer MassLogger con la versione v3.0.7563.31381.
Il malware esfiltra i dati rubati attraferso uan connessione FTP al server: ftp.persisiciptautama[.]com
IOC:
A5DF1E5FD71FC28D63D9DA7242841777
ftp.persisiciptautama[.]com
Consulta le campagne del mese di Settembre
Vi invitiamo a consultare i report del mese di Settembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
Utilizzabilità delle informative e delle immagine in esse contenute
Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.
Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito
"Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"
|
|
