Selected news item is not available in the requested language.

Italian language proposed.

Close

02/11/2020
09:38

2020W44 Report settimanale= > 31/10-06/11 2K20 campagne MalSpam target Italia

Malware veicolati attraverso le campagne: Adwind, AgentTesla, Remcos, Phorpiex, Azorult, LokiBot, Ave_Maria
       
week44

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 31 ottobre al 06 novembre 2020: Adwind, AgentTesla, Remcos, Phorpiex, Azorult, LokiBot, Ave_Maria

INDICE

==> 02 novembre 2020 => Adwind (1), AgentTesla (1)

==> 03 novembre 2020 => Adwind (1)

==> 04 novembre 2020 => Remcos (1), AgentTesla (1) , Phorpiex (1), Azorult (1)

==> 05 novembre 2020 => AgentTesla (1), Ave_Maria (1), Adwind (1)

==> 06 novembre 2020 => LokiBot (1), AgentTesla (1)
             
==> Consulta le campagne del mese di Ottobre/Novembre

Nella settimana corrente vi è stata una diminuzione delle campagne totali.
Grandi assenti sono il malware Emotet ed il trojan banker "Ursnif", continua l'assenza dell'attore Hagga, rimane costante l'invio di malspam per la diffusione di vari PasswordStealer.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 148 le campagne che abbiamo monitorato, di cui 12 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
 dal al
Week_41 10/10 16/10
Week_42 17/10 23/10
Week_43 24/10 30/10
Week_44 31/10 06/11


Nella settimana corrente il picco totale delle campagne è stato lunedì 02 novembre con 34 campagne. Mercoledì 04 novembre è stato il picco delle campagne rivolte ad utenza italiana con 4 campagne, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 57,43 % dei malware inviati via mail, seguito con il 11,49 % di sample Delphi.
Il 12,16 % dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

 

02 novembre 2020

Adwind

 
 
Purchase_order1.jar
MD557B37C9D72FEB3D35FB113B624AADF1D
Dimensione: 100272 Bytes
VirITTrojan.Java.Adwind.CNT
All'interno dell'archivio compresso "Purchase_order1.zip" è presente il file "Purchase_order1.jar" infetto dal password stealer Adwind.
 
IOC:
57B37C9D72FEB3D35FB113B624AADF1D
ciko77.hopto[.]org

AgentTesla

 
 
Ordine numero O45202020 [..].xlsm
MD51C6ACFAD45E467F2F2CA0807856C9102
Dimensione: 22103 Bytes
VirITX97M.Downloader.CNT
Ordine 400771.xlxs.exe
MD5E8F923EA8381E6C48024D0DE225C8AC2
Dimensione: 600064 Bytes
VirITTrojan.Win32.AgentTesla.CNU

Aprendo il file EXCEL presente nel allegato della mail possiamo vedere che ha al suo interno una MACRO, quale una volta lanciata, esegue un collegamento tramite il PowerShell di Windows al sito "http://95.214.8[.]54" e provvedere a scaricare il payload "Ordine 400771.xlxs.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: jedro82.adriadns[.]com  -> 85.17.123[.]84 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@dr[.]com

IOC:
1C6ACFAD45E467F2F2CA0807856C9102
E8F923EA8381E6C48024D0DE225C8AC2


Torna ad inizio pagina

03 novembre 2020

Adwind

 
 
Purchase_order2.jar
MD56447727B4FE5619ACE577EE38BDF87C9
Dimensione: 94199 Bytes
VirITTrojan.Java.Adwind.CNV

All'interno dell'archivio compresso "Purchase_order2.zip" è presente il file "Purchase_order2.jar" infetto dal password stealer Adwind.

IOC:
6447727B4FE5619ACE577EE38BDF87C9
ciko77.hopto[.]org
 
 

04 novembre 2020

Remcos

 
 
INFO5NOVEMBER2020NS10.exe
MD5DDE6CE1AF6F714D304C97F76C83DD13F
Dimensione: 675520 Bytes
VirITTrojan.Win32.PSWStealer.CNW
All'interno dell'archivio compresso "INFO5NOVEMBER2020NS10.iso" è presente il file "INFO5NOVEMBER2020NS10.exe" infetto dal password stealer Remcos.

IOC:
DDE6CE1AF6F714D304C97F76C83DD13F
uzbektourism8739.ddns[.]net => 185.140.53[.]129

AgentTesla

 
 
2020.11.04 MEP PO_4520011328.exe
MD55AFE5BC424A3D68004B25F105AF9C379
Dimensione: 599552 Bytes
VirITTrojan.Win32.PSWStealer.CNW
All'interno dell'archivio compresso "2020.11.04 MEP PO_4520011328.iso" è presente il file "2020.11.04 MEP PO_4520011328.exe" infetto dal password stealer AgentTesla
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

IOC:
5AFE5BC424A3D68004B25F105AF9C379
193.56.28[.]218

Phorpiex

 
 
Photo-158-142.jpg.scr
MD52282FB1BB910B3E0745775A24452A8B8
Dimensione: 15872 Bytes
VirITTrojan.Win32.Phorpiex.COB
winsvcs.exe
MD50330CA15737B3FB862072CFA22BAFE01
Dimensione: 68096 Bytes
VirITTrojan.Win32.Genus.CNX

IOC:
2282FB1BB910B3E0745775A24452A8B8
0330CA15737B3FB862072CFA22BAFE01
trik[.]ws
304049943[.]ws

Azorult

 
Richiesta di offerta__pdf.exe
MD54AA86D667D259AA393E66BF9DFBB2C87
Dimensione: 1064448 Bytes
VirITTrojan.Win32.PSWStealer.CNX
All'interno dell'archivio compresso "Richiesta di offerta__pdf.gz" è presente il file "Richiesta di offerta__pdf.exe" infetto dal password stealer Azorult.
 

IOC:
4AA86D667D259AA393E66BF9DFBB2C87
95.181.155[.]68

05 novembre 2020

AgentTesla

 
 
OrdFor_[..]_DD_20201104082305.xlsm
MD5AE9DFA8376A3AE9E8D7A80B639A1E909
Dimensione: 22108 Bytes
VirITX97M.Downloader.CNZ
cqyeqexdf.exe
MD5BEA248598C663D948E0ACACC45520392
Dimensione: 873984 Bytes
VirITTrojan.Win32.PSWStealer.CNZ
Aprendo il file EXCEL presente nel allegato della mail possiamo vedere che ha al suo interno una MACRO, quale una volta lanciata, esegue un collegamento tramite il PowerShell di Windows al sito "http://185.212.128[.]97" e provvede a scaricare il payload "cqyeqexdf.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

Le credenziali e i dati rubati rubate vengono inviate attraverso un bot Telegram ad una chat privata di Telegram.

Di seguito i dati di configurazione del bot Telegram:
BOT ID: 1<REDACTED>9
USERNAME: b<REDACTED>_bot
CHAT_ID: 1<REDACTED>0

IOC:
AE9DFA8376A3AE9E8D7A80B639A1E909
BEA248598C663D948E0ACACC45520392
185.212.128[.]97

Ave_Maria

 
 
Fattura.doc
MD5662333C137BE451FE5994B73E8852C82
Dimensione: 217942 Bytes
VirITTrojan.RTF.Dropper.CNZ
windows.exe
MD52118A0FFEEFD00F96FA754F8CCACB685
Dimensione: 1560064 Bytes
VirITTrojan.Win32.Avemaria.COA
Il file allegato alla mail è un RTF malevolo che, attraverso Powershell, scarica il payload collegandosi al sito "http://52.255.199[.]232". Il file scaricato ed eseguito "windows.exe" è infetto dal password stealer Ave_Maria .

IOC:
662333C137BE451FE5994B73E8852C82
2118A0FFEEFD00F96FA754F8CCACB685
52.255.199[.]232

Adwind

 
 
Purchase Order 5-11-2020.jar
MD5D3BEAA3255348F63F93E0188F6E12312
Dimensione: 103017 Bytes
VirITTrojan.Java.Adwind.CNZ
All'interno dell'archivio compresso "Purchase Order 5-11-2020.zip" è presente il file "Purchase Order 5-11-2020.jar" infetto dal password stealer Adwind.

IOC:
D3BEAA3255348F63F93E0188F6E12312
ciko77.hopto[.]org

06 novembre 2020

LokiBot

 
 
printserver8791934940090187195.exe
MD5923E5D0E033E99E47BCDA3AEBB518C02
Dimensione: 815104 Bytes
VirITTrojan.Win32.Injector.COA
All'interno dell'archivio compresso "printserver8791934940090187195.iso" è presente il file "printserver8791934940090187195.exe" infetto dal password stealer LokiBot.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
923E5D0E033E99E47BCDA3AEBB518C02
195.69.140[.]147

AgentTesla

 
 
Order 67543_pdf.exe
MD52174CE8099A8CC155B101CB21F101C7B
Dimensione: 740864 Bytes
VirITTrojan.Win32.AgentTesla.COP

All'interno dell'archivio compresso "Order 67543_pdf.gz" è presente il file "Order 67543_pdf.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com  -> 208.91.199[.]225 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@cherniesa[.]com

IOC:
2174CE8099A8CC155B101CB21F101C7B
 
 

Consulta le campagne del mese di Ottobre/Novembre

Vi invitiamo a consultare i report del mese di Ottobre/Novembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
24/10/2020 = Report settimanale delle campagne italiane di Malspam dal 24 ottobre al 30 ottobre 2020
17/10/2020 = Report settimanale delle campagne italiane di Malspam dal 17 ottobre al 23 ottobre 2020
10/10/2020 = Report settimanale delle campagne italiane di MalSpam dal 10 ottobre al 16 ottobre 2020
03/10/2020 = Report settimanale delle campagne italiane di MalSpam dal 03 ottobre al 09 ottobre 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: