Selected news item is not available in the requested language.

Italian language proposed.

Close

20/10/2020
14:49

2020W42 Report settimanale= > 17-23/10 2K20 campagne MalSpam target Italia


Malware veicolati attraverso le campagne: Emotet, Ursnif, AgentTesla, Remcos, FormBook, Hagga, LokiBot
       
week42

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 17 ottobre al 23 ottobre 2020: Emotet, Ursnif, AgentTesla, Remcos, FormBook, Hagga, LokiBot

INDICE

==> 17 ottobre 2020 => Emotet (1), FormBook (1),

==> 19 ottobre 2020 => Emotet (14), Ursnif (1), AgentTesla(2)

==> 20 ottobre 2020 => Emotet (17), Ursnif (1), AgentTesla(3), Hagga (1), Remcos (1)

==>
 21 ottobre 2020 => Emotet (6), Ursnif (1), Remcos (1), FormBook (1) 

==> 
22 ottobre 2020 => Emotet (9), LokiBot (1), FormBook (1), AgentTesla (1)

==> 23 ottobre 2020 => FormBook (1)
             
==> Consulta le campagne del mese di Settembre/Ottobre


Nella settimana corrente vi è stato un incremento delle campagne totali.
Presente il malware Emotet, continuano le campagne del trojan banker "Ursnif" e gran ritorno dell'attore Hagga accompagnati da una varietà di altri PasswordStealer.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 163 le campagne che abbiamo monitorato, di cui 65 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
dal al
Week_39 26/09 02/10
Week_40 03/10 09/10
Week_41 10/10 16/10
Week_42 17/10 23/10


Nella settimana corrente il picco totale delle campagne è stato lunedì 19 e martedì 20 a pari merito con 45 campagne. Martedì 20 ottobre è stato anche il picco delle campagne rivolte ad utenza italiana con 23 campagne, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 57,06 % dei malware inviati via mail, seguito con il 7,98% di sample Delphi.
Il 31,90 % dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

EMOTET


Durante la settimana monitorata le campagne malspam di Emotet è stato veicolato da lunedì 19 fino a giovedì 22 ottobre.

Riportiamo sotto un esempio di mail attraverso la quale viene diffusa la campagna malspam di Emotet:


Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana:


Scarica il file di testo degli IOC delle campagne Emotet.


17 ottobre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


FormBook

 
 
Confirm!!!.exe
MD5A97E07FB4BF0FDC53CB010C14CFD4427
Dimensione: 1065472 Bytes
VirITTrojan.Win32.PSWStealer.CMY

All'interno dell'archivio compresso "doc03573300245.zip" è presente il file "doc03573300245.vbs" infetto dal password stealer FormBook.

IOC:
A97E07FB4BF0FDC53CB010C14CFD4427
starbuckranchtx[.]com


Torna ad inizio pagina
 

19 ottobre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


AgentTesla

 
 
Order-086971_PDF.exe
MD54BB8A538B5F9127C23C9621C74AE6F97
Dimensione: 852480 Bytes
VirITTrojan.Win32.PSWStealer.CMY

All'interno dell'archivio compresso "Order-086971_PDF.cab" è presente il file "Order-086971_PDF.exe" infetto dal password stealer AgentTesla

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp:jedro82.adriadns[.]com  -> 85.17.123[.]84 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@dr[.]com

IOC:
4BB8A538B5F9127C23C9621C74AE6F97

AgentTesla

 
 
NUOVO ORDINE-pdf.exe
MD525B8E47D9C1A785F2F9F8A89114FC811
Dimensione: 960512 Bytes
VirITTrojan.Win32.PSWStealer.CMY

All'interno dell'archivio compresso "NUOVO ORDINE-pdf.7z" è presente il file "NUOVO ORDINE-pdf.exe" infetto dal password stealer AgentTesla

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: Pure-FTPd  -> 192.140.56[.]52 Porta: 21
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@transportesbyh[.]cl
IOC:
25B8E47D9C1A785F2F9F8A89114FC811

Ursnif

 
 
documentazione2_826.xls
MD50E00916BF1ECA9E5434F601BB052E835
Dimensione: 202240 Bytes
VirITX97M.Ursnif.CMY

[PAYLOAD URSNIF]
MD569EC5FFDE7EB0E7C46638E2F6F3A1523
Dimensione: 167936 Bytes
VirITTrojan.Win32.Ursnif.CMY

Versione: 250161
Gruppo: 7231
Key: 10291029JSJUYNHG


Aprendo il file excel "documentazione1_826.xls" viene avviata una macro che scarica il malware Ursnif dal sito stats.technosolarenergy[.]net e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: blogicompany[.]com

IOC:
0E00916BF1ECA9E5434F601BB052E835
69EC5FFDE7EB0E7C46638E2F6F3A1523
stats.technosolarenergy[.]net
blogicompany[.]com


Torna ad inizio pagina

20 ottobre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


Ursnif

 
 
documento2_488.xls
MD507CC6D8444361083195B672F8735E48D
Dimensione: 188416 Bytes
VirITX97M.Ursnif.CNA

[PAYLOAD URSNIF]
MD588F1F262F2A14C645E55862DDCA65815
Dimensione: 119296 Bytes
VirITTrojan.Win32.Ursnif.CNA

Versione: 250161
Gruppo: 7233
Key: 10291029JSJUYNHG


Aprendo il file excel "documentazione1_973.xls" viene avviata una macro che scarica il malware Ursnif dal sito systemlinks[.]casa e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: windowclient[.]com

IOC:
07CC6D8444361083195B672F8735E48D
88F1F262F2A14C645E55862DDCA65815
systemlinks[.]casa
windowclient[.]com
 

AgentTesla

 
Order-72652-xlxs.exe
MD594F34470DA8B2EDC815B7F362E66DC0D
Dimensione: 747520 Bytes
VirITTrojan.Win32.PSWStealer.CNA

All'interno dell'archivio compresso "Order-72652-xlxs.cab" è presente il file "Order-72652-xlxs.exe" infetto dal password stealer AgentTesla

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: jedro82.adriadns[.]com  -> 85.17.123[.]84 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@dr[.]com

IOC:
94F34470DA8B2EDC815B7F362E66DC0D

AgentTesla

 
 
Fiat 100-90 DT.exe
MD519CFBB3DE70CC6F7DD8457B1E6749429
Dimensione: 513024 Bytes
VirITTrojan.Win32.PSWStealer.CNA

All'interno dell'archivio compresso "Fiat 100-90 DT.ace" è presente il file "Fiat 100-90 DT.exe" infetto dal password stealer AgentTesla

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: vla5-3832771863b8.qloud-c.yandex[.]net  -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]ru

IOC:
19CFBB3DE70CC6F7DD8457B1E6749429

Hagga

 
 
2020_75003.ppt
MD5E95D3834B5AE2D5F626FD165A0324EED
Dimensione: 77312 Bytes
VirITP97M.Downloader.CNA

All'avvio del file di PowerPoint viene eseguita una macro che si collega al sito https://j.]mp\dasr67u523gvdajmsbcmzxcghfsad tramite il tool mshta.exe di Microsoft per scaricare un ulteriore script. Lo script scaricato crea delle chiavi nel registro di sistema che serviranno ad eseguire il download di payload malevoli.

[PAYLOAD 1]
MD5: 790788BC6CC425B9B9092FCB8CAB9F46
Dimensione: 25600 Bytes
VirIT: Trojan.Win32.MulDrop11.YPR

Questo file viene utilizzato per eseguire degli script e delle operazioni atti ad abbassare i livelli di sicurezza della macchina colpita


[PAYLOAD 2]
MD5: 674BD22D848AEE07F2AE4271A30314CC
Dimensione: 221184 Bytes
VirIT: Trojan.Win32.PSWStealer.CNA

Trattasi di Password Stealer (AgentTesla) che esfiltra i dati del computer infettato via web all'indirizzo IP:
193.56.28.]218/webpanel-major/inc/81a5f8ccc96ef2.php

Lista Utenti PasteBin:
Alphabates3


IOC:
E95D3834B5AE2D5F626FD165A0324EED
790788BC6CC425B9B9092FCB8CAB9F46
674BD22D848AEE07F2AE4271A30314CC
s://j.mp\dasr67u523gvdajmsbcmzxcghfsad
s://pastebin.com/raw/iezZaYnK
193.56.28.]218

Remcos

 
 
Ordine_PEKOR_1020.exe
MD5231442CEE42F591F495EDF68551D5E26
Dimensione: 864256 Bytes
VirITTrojan.Win32.PSWStealer.CNA

All'interno dell'archivio compresso "Ordine_PEKOR_1020.rar" è presente il file "Ordine_PEKOR_1020.exe" infetto dal password stealer Remcos.

IOC:
231442CEE42F591F495EDF68551D5E26
115.134.23[.]40
rromaniitalfoodsinc.zapto[.]org

AgentTesla

 
 
ET7vd0tKWRtlXAT.exe
MD5CB248BF0269FE3E4CE6D669D5BBDCAFA
Dimensione: 690688 Bytes
VirITTrojan.Win32.PSWStealer.CNA

All'interno dell'archivio compresso "bonifico 10.20.2020.zip" è presente il file "ET7vd0tKWRtlXAT.exe" infetto dal password stealer AgentTesla

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: myt4-ee976ce519ac.qloud-c.yandex[.]net -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]ru

IOC:
CB248BF0269FE3E4CE6D669D5BBDCAFA
 
 

21 ottobre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.

Remcos

 
 
docs090.exe
MD540C354B683134B6711635C8D67044045
Dimensione: 1066544 Bytes
VirITTrojan.Win32.Remcos.CNC

All'interno dell'archivio compresso "docs090.zip" è presente il file "docs090.exe" infetto dal password stealer Remcos.

IOC:
40C354B683134B6711635C8D67044045
style.ptbagasps.co[.]id
193.218.118[.]190

Ursnif

 
 
agenzia4_263.xls
MD5054C6C2AADB27A30E98542FC1D4A3678
Dimensione: 194048 Bytes
VirITW97M.Ursnif.CNC

[PAYLOAD URSNIF]
MD52ACDB2399A8CA54B25252C9091EC9ECA
Dimensione: 147968 Bytes
VirITTrojan.Win32.Ursnif.CNC

Versione: 250161
Gruppo: 7234
Key: 10291029JSJUYNHG


Aprendo il file excel "agenzia4_263.xls" viene avviata una macro che scarica il malware Ursnif dal sito blogilive[.]casa e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: windowstats[.]com

IOC:
054C6C2AADB27A30E98542FC1D4A3678
2ACDB2399A8CA54B25252C9091EC9ECA
blogilive[.]casa
windowstats[.]com

FormBook


 
 
SKMBT_C22020102111407.exe
MD5B5EAE750BC8DF7E03B6356A18F52EB6A
Dimensione: 562688 Bytes
VirITTrojan.Win32.PSWStealer.CNC

All'interno dell'archivio compresso "SKMBT_C22020102111407.7z" è presente il file "SKMBT_C22020102111407.exe" infetto dal password stealer FormBook.

IOC:
B5EAE750BC8DF7E03B6356A18F52EB6A

22 ottobre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


LokiBot

 
 
Nota di consegna TXT408CMIM,pdf.exe
MD58B7FBADD14DF5920732399DE27941260
Dimensione: 805888 Bytes
VirITTrojan.Win32.PSWStealer.CNE

All'interno dell'archivio compresso "Nota di consegna TXT408CMIM.pdf.zip" è presente il file "Nota di consegna TXT408CMIM,pdf.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
IOC:
8B7FBADD14DF5920732399DE27941260
vtoct[.]xyz

FormBook

 
 
copia scansione slip.exe
MD5D60B5172ECE08495A237EE03BC04A53C
Dimensione: 1069064 Bytes
VirITTrojan.Win32.PSWStealer.CNE

All'interno dell'archivio compresso "copia scansione slip.zip" è presente il file "copia scansione slip.exe" infetto dal password stealer FormBook.

IOC:
D60B5172ECE08495A237EE03BC04A53C
office4u[.]info

AgentTesla

 
 
Ordine 6543265433.exe
MD58E82EED31CF8C861F7EB7AE414C82493
Dimensione: 314368 Bytes
VirITTrojan.Win32.PSWStealer.CMY

All'interno dell'archivio compresso "Ordine 6543265433.rar" è presente il file "Ordine 6543265433.exe" infetto dal password stealer AgentTesla

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

Le credenziali e i dati rubati rubate vengono inviate attraverso un bot Telegram ad una chat privata di Telegram.

Di seguito i dati di configurazione del bot Telegram:
BOT ID: 1<REDACTED>9
USERNAME: b
<REDACTED>_bot
CHAT_ID: 1
<REDACTED>0

IOC:
8E82EED31CF8C861F7EB7AE414C82493
 

23 ottobre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


FormBook

 
 
ordinazione d'acquisto.exe
MD5A7010D8356BB1135A231084F07E99D56
Dimensione: 910336 Bytes
VirITTrojan.Win32.PSWStealer.CNH

All'interno dell'archivio compresso "ordinazione d'acquisto.zip" è presente il file "ordinazione d'acquisto.exe" infetto dal password stealer FormBook.

IOC:
A7010D8356BB1135A231084F07E99D56
 
 

Consulta le campagne del mese di Settembre/Ottobre

Vi invitiamo a consultare i report del mese di Settembre/Ottobre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
10/10/2020 = Report settimanale delle campagne italiane di Malspam dal 10 ottobre al 16 ottobre 2020
03/10/2020 = Report settimanale delle campagne italiane di Malspam dal 03 ottobre al 09 ottobre 2020
26/09/2020 = Report settimanale delle campagne italiane di MalSpam dal 26 settembre al 02 ottobre 2020
19/09/2020 = Report settimanale delle campagne italiane di MalSpam dal 19 settembre al 25 settembre 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: