Selected news item is not available in the requested language.

Italian language proposed.

Close

07/10/2020
09:33

2020W40 Report settimanale= > 03-09/10 2K20 campagne MalSpam target Italia

Malware veicolati attraverso le campagne: Ursnif, AgentTesla, MassLogger, QakBot, FormBook, LokiBot, Dharma, Remcos
       
week40

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 03 ottobre al 09 ottobre 2020: Ursnif, AgentTesla, MassLogger, QakBot, FormBook, LokiBot, Dharma, Remcos

INDICE

==> 03 ottobre 2020 => FormBook (1)

==> 05 ottobre 2020 => MassLogger (1), AgentTesla (2), LokiBot (1), QakBot (1)

==> 06 ottobre 2020 => Ursnif (2), MassLogger (1), AgentTesla (1), Dharma (1)

==> 07 ottobre 2020 => LokiBot (1), Ursnif (1), FormBook (1)

==> 08 ottobre 2020 => LokiBot (1), Remcos (1), MassLogger (1)
             
==> Consulta le campagne del mese di Settembre

Nella settimana corrente vi è stata un calo delle campagne totali.
Grande assente della settimana il trojan Emotet. Continuano le campagne del trojan banker "Ursnif" accompagnato da una varietà di altri PasswordStealer e di una campagna che veicola il Crypto-Malware Dharma.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 116 le campagne che abbiamo monitorato, di cui 17 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
 dal al
Week_37 12/09 18/09
Week_38 19/09 25/09
Week_39 26/09 02/10
Week_40 03/10 09/10


Nella settimana corrente il picco totale delle campagne è stato mercoledì 07 ottobre con 27 campagne. A pari merito con 5 campagne rivolte ad utenti italiani troviamo il giorno lunedì 05 ottobre e martedì 06 ottobre, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 65,52 % dei malware inviati via mail, seguito con il 14,67% di sample Delphi.
Il 14,66 % dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

EMOTET


Durante la settimana monitorata le campagne malspam di Emotet non sono state distribuite.
Non è noto al momento il motivo dell'interruzione delle attività di spamming.

03 ottobre 2020


FormBook

 
 
Confirmation copy.exe
MD5371758C331D4748CA194F4F5A1564AF9
Dimensione: 840192 Bytes
VirITTrojan.Win32.PSWStealer.CME

All'interno dell'archivio compresso "Confirmation copy.rar" è presente il file Confirmation copy.exe" infetto dal password stealer FormBook.

IOC:
371758C331D4748CA194F4F5A1564AF9
178416[.]com


Torna ad inizio pagina
 

05 ottobre 2020


MassLogger

 
 
Listino prezzi DDT application num _05-OCT_2020.exe
MD591D5FF16964BEE03F0C266873512ABB7
Dimensione: 11776 Bytes
VirITTrojan.Win32.PSWStealer.CME
All'interno dell'archivio compresso "ACF.28668_DPJ202001268128.R08" è presente il file "Listino prezzi DDT application num _05-OCT_2020.exe" che attraverso powershell scarica dal sito "studiosound[.]gr/F9.jpg" in forma offuscata il Payload del Trojan Password Stealer MassLogger, una volta deoffuscato il malware viene caricato in memoria ed avviato.

IOC:
91D5FF16964BEE03F0C266873512ABB7
akinitaviotias[.]gr
studiosound[.]gr

AgentTesla

 
 
RICHIESTA DI OFFERTA_pdf.exe
MD5CC2A2B3DD2B76285A525FCE60D2EC4CC
Dimensione: 933888 Bytes
VirITTrojan.Win32.PSWStealer.CMF
All'interno dell'archivio compresso "RICHIESTA DI OFFERTA_pdf.z" è presente il file "RICHIESTA DI OFFERTA_pdf.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: truster-11.webhosting4[.]net  -> 185.171.186[.]13 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@nordpharm[.]ro

IOC:
CC2A2B3DD2B76285A525FCE60D2EC4CC

LokiBot

 
 
inps circolare 115 2020.exe
MD528DF0FBD782B0DEF9A304FFDE884EA51
Dimensione: 705536 Bytes
VirITTrojan.Win32.PSWStealer.CMF

All'interno dell'archivio compresso "inps circolare 115 2020.iso" è presente il file "inps circolare 115 2020.exe" infetto dal password stealer LokiBot.
Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
D52F916350D4D368B63E8EAD67FE518C
195.69.140[.]147

AgentTesla

 
Fd2jg3z48FntHP9.exe
MD513973110E30FE5A447BD646C2BFB1354
Dimensione: 1009664 Bytes
VirITTrojan.Win32.PSWStealer.CMF

All'interno dell'archivio compresso "ORDINE-2020-SUBM70N.zip" è presente il file "Fd2jg3z48FntHP9.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: iva4-bca95d3b11b1.qloud-c.yandex[.]net  -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

IOC:
13973110E30FE5A447BD646C2BFB1354

QakBot

 
Complaint_184769014_10022020.xls
MD5D80C816193CCBF4693D87677090B567E
Dimensione: 71680 Bytes
VirITX97M.Downloader.CMF
Fikol.exe
MD542B7774895B2E57B9F274AD7F0331C84
Dimensione: 1017320 Bytes
VirITTrojan.Win32.QakBot.CMG

L'archivio ZIP allegato alla mail contiene il file excel "Complaint_184769014_10022020.xls" che se aperto attraverso una macro  scarica ed esegue il malware QakBot.


IOC:
D80C816193CCBF4693D87677090B567E
42B7774895B2E57B9F274AD7F0331C84
alliance-oilfield[.]com


Torna ad inizio pagina

06 ottobre 2020


Ursnif

 
 
certificazione3_504.xls
MD522DD6161E244C3FDEBED9DA2FEF4F6F1
Dimensione: 119808 Bytes
VirITX97M.Ursnif.CMG
[PAYLOAD URSNIF]
MD53550FD3262A040CCFB0604966669D970
Dimensione: 173056 Bytes
VirITTrojan.Win32.Ursnif.CMG
Versione: 250161
Gruppo: 7226
Key: 10291029JSJUYNHG


Aprendo il file excel "certificazione1_735.xls" viene avviata una macro che scarica il malware Ursnif dal sito link.hybridcorehomescc[.]com e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: web.synizstore[.]com

IOC:
22DD6161E244C3FDEBED9DA2FEF4F6F1
3550FD3262A040CCFB0604966669D970
web.synizstore[.]com
link.hybridcorehomescc[.]com

Dharma

 
Quietanza_60GG.doc
MD5B4C8E305D593E7FCC7CD6CD81CA75FB9
Dimensione: 334848 Bytes
VirITW97M.Downloader.CMG
j.exe
MD5AA207B69A8F20DBD21DCA9AB1431007F
Dimensione: 372224 Bytes
VirITRansom.Win32.Dharma.CMK

All'interno del file Word presente nell'allegato dell mail, si trova una Macro che una volta eseguita, effettua un collegamento al sito Web nutrilatuamente[.]it scaricando ed eseguendo uno script powershell che effettuerà un ulteriore collegamento al sito scaricando il payload del CryptoMalware Dharma.

Una volta aver cifrato i file della vittima, sullo schermo vengono visualizzate le istruzioni del riscatto:
Sotto riportiamo una sequenza di codice trovata all'interno del dump dalla quale possiamo dedurre che la campagna ha come target gli utenti italiani:

 
 



IOC:
B4C8E305D593E7FCC7CD6CD81CA75FB9
AA207B69A8F20DBD21DCA9AB1431007F
nutrilatuamente[.]it

MassLogger

 
doc04361120200924113713.chm
MD59DA97E2C386505B35A4549304FDEC552
Dimensione: 11321 Bytes
VirITTrojan.CHM.Dropper.AG

All'interno dell'archivio compresso "doc04361120200924113713.R13" è presente il file "doc04361120200924113713.chm" che attraverso powershell scarica dal sito "modestinos2[.]com/R7.jpg" in forma offuscata il Payload del Trojan Password Stealer MassLogger, una volta deoffuscato il malware viene caricato in memoria ed avviato.

IOC:
9DA97E2C386505B35A4549304FDEC552
modestinos2[.]com
akinitaviotias[.]gr


Ursnif

 
 
Fattura_70992.xlsm
MD57A5B3D785E849E2D6EDE5DEA232FFCBB
Dimensione: 32216 Bytes
VirITX97M.Ursnif.CMH
[PAYLOAD URSNIF]
MD5E7745B45B381FCAC79A8C615D91F3C3B
Dimensione: 226304 Bytes
VirITTrojan.Win32.Ursnif.CMH
Versione: 250161
Gruppo: 4343
Key: 21291029JSJUXMPP


Aprendo il file excel "Fattura_70992.xlsm" viene avviata una macro che scarica il malware Ursnif dal sito notificaritardipagamentof24[.]com e provvede ad eseguire il payload.
Il malware Ursnif si collega al suo server di Comando & Controllo: santaliny[.]net

IOC:
7A5B3D785E849E2D6EDE5DEA232FFCBB
E7745B45B381FCAC79A8C615D91F3C3B
notificaritardipagamentof24[.]com
santaliny[.]net

AgentTesla

 
proforma inv 6720_pdf.exe
MD57C8CDA88A2EF2875548729232383F52A
Dimensione: 813568 Bytes
VirITTrojan.Win32.PSWStealer.CMH

All'interno dell'archivio compresso "proforma inv 6720_pdf.gz" è presente il file "proforma inv 6720_pdf.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com  -> 208.91.199[.]223 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@dachanq[.]cc

IOC:
7C8CDA88A2EF2875548729232383F52A
 
 

07 ottobre 2020


LokiBot

 
 
20OF2032-0100720.exe
MD51AEFFDD4F27BD95CE72B5D5A189E444F
Dimensione: 599040 Bytes
VirITTrojan.Win32.LokiBot.CMI
All'interno dell'archivio compresso "20OF2032-0100720.iso" è presente il file "20OF2032-0100720.exe" infetto dal password stealer LokiBot.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • SmartFTP
  • Opera
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
1AEFFDD4F27BD95CE72B5D5A189E444F
195.69.140[.]147

Ursnif

 
 
certificato_267.xls
MD51D74C83B5D9D11285308E1FBB61B0322
Dimensione: 215040 Bytes
VirITX97M.Ursnif.CMJ
[PAYLOAD URSNIF]
MD5F83C833AD49D22F66FEBBDA472B1399E
Dimensione: 153600 Bytes
VirITTrojan.Win32.Ursnif.CMG
Versione: 250161
Gruppo: 7226
Key: 10291029JSJUYNHG


Aprendo il file excel "certificato_267.xls" viene avviata una macro che scarica il malware Ursnif dal sito line.republicpracticesolutions[.]com e provvede ad eseguire il payload.
Il malware Ursnif si collega al server di Comando & Controllo: web.synizstore[.]com

IOC:
1D74C83B5D9D11285308E1FBB61B0322
F83C833AD49D22F66FEBBDA472B1399E
web.synizstore[.]com
line.republicpracticesolutions[.]com

FormBook

 
 
77SEDSSS.exe
MD5B31B9A9883AB4ED82760D3B6F33CB42F
Dimensione: 737280 Bytes
VirITTrojan.Win32.PSWStealer.CMK

All'interno dell'archivio compresso "Confirmation copy.rar" è presente il file Confirmation copy.exe" infetto dal password stealer FormBook.

IOC:
B31B9A9883AB4ED82760D3B6F33CB42F
creditoefectivo[.]info

08 ottobre 2020

LokiBot

 
 
inps circolare 115 2020.exe
MD5ACB9F9A31D484C6038FA89AABDFDA03B
Dimensione: 722432 Bytes
VirITTrojan.Win32.PSWStealer.CMK
All'interno dell'archivio compresso "inps circolare 115 2020.iso" è presente il file "inps circolare 115 2020.exe" infetto dal password stealer LokiBot.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • SmartFTP
  • Opera
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
ACB9F9A31D484C6038FA89AABDFDA03B
195.69.140[.]147

Remcos

 
 
ESTRATTO CONTO DHL-1301383112.exe
MD5234C7ED18A7EA1B5ADA06BAD5388CF3F
Dimensione: 1221110 Bytes
VirITTrojan.Win32.Remcos.CMK
All'interno dell'archivio compresso "inps circolare 115 2020.iso" è presente il file "inps circolare 115 2020.exe" infetto dal password stealer Remcos.
Il malware si collega al server di Comando & Controllo: incidencias6645[.]ddns[.]net -> 79.134.225[.]83 Porta: 8638
 
IOC:
234C7ED18A7EA1B5ADA06BAD5388CF3F
incidencias6645[.]ddns[.]net
79.134.225[.]83

MassLogger

 
 
FV00620224400 009384766589.exe
MD5A5DF1E5FD71FC28D63D9DA7242841777
Dimensione: 916992 Bytes
VirITTrojan.Win32.Injector.CMK
All'interno dell'archivio compresso "FV00620224400 009384766589.r15" è presente il file "FV00620224400 009384766589.exe" infetto dal password stealer MassLogger con la versione v3.0.7563.31381.
Il malware esfiltra i dati rubati attraferso uan connessione FTP al server: ftp.persisiciptautama[.]com
 
IOC:
A5DF1E5FD71FC28D63D9DA7242841777
ftp.persisiciptautama[.]com

 

Consulta le campagne del mese di Settembre

Vi invitiamo a consultare i report del mese di Settembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
26/09/2020 = Report settimanale delle campagne italiane di Malspam dal 26 settembre al 02 ottobre 2020
19/09/2020 = Report settimanale delle campagne italiane di Malspam dal 19 settembre al 25 settembre 2020
12/09/2020 = Report settimanale delle campagne italiane di MalSpam dal 12 settembre al 18 settembre 2020
05/09/2020 = Report settimanale delle campagne italiane di MalSpam dal 05 settembre al 11 settembre 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: