TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month Vir.IT eXplorer PRO dal 2016 Certificato ICSA Labs

Vir.IT eXplorer PRO dal 2016 Certificato VB100

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

02/11/2020 09:38:36 - 2020W44 Report settimanale= > 31/10-06/11 2K20 campagne MalSpam target Italia

       
week44

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 31 ottobre al 06 novembre 2020: Adwind, AgentTesla, Remcos, Phorpiex, Azorult, LokiBot, Ave_Maria

INDICE

==> 02 novembre 2020 => Adwind (1), AgentTesla (1)

==> 03 novembre 2020 => Adwind (1)

==> 04 novembre 2020 => Remcos (1), AgentTesla (1) , Phorpiex (1), Azorult (1)

==>
 05 novembre 2020 => AgentTesla (1), Ave_Maria (1), Adwind (1)

==> 
06 novembre 2020 => LokiBot (1), AgentTesla (1)
             
==> Consulta le campagne del mese di Ottobre/Novembre


Nella settimana corrente vi è stata una diminuzione delle campagne totali.
Grandi assenti sono il malware Emotet ed il trojan banker "Ursnif", continua l'assenza dell'attore Hagga, rimane costante l'invio di malspam per la diffusione di vari PasswordStealer.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 148 le campagne che abbiamo monitorato, di cui 12 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
dal al
Week_41 10/10 16/10
Week_42 17/10 23/10
Week_43 24/10 30/10
Week_44 31/10 06/11


Nella settimana corrente il picco totale delle campagne è stato lunedì 02 novembre con 34 campagne. Mercoledì 04 novembre è stato il picco delle campagne rivolte ad utenza italiana con 4 campagne, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 57,43 % dei malware inviati via mail, seguito con il 11,49 % di sample Delphi.
Il 12,16 % dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

 

02 novembre 2020

Adwind

 
 
Purchase_order1.jar
MD557B37C9D72FEB3D35FB113B624AADF1D
Dimensione: 100272 Bytes
VirITTrojan.Java.Adwind.CNT

All'interno dell'archivio compresso "Purchase_order1.zip" è presente il file "Purchase_order1.jar" infetto dal password stealer Adwind.
 
IOC:
57B37C9D72FEB3D35FB113B624AADF1D
ciko77.hopto[.]org

AgentTesla

 
 
Ordine numero O45202020 [..].xlsm
MD51C6ACFAD45E467F2F2CA0807856C9102
Dimensione: 22103 Bytes
VirITX97M.Downloader.CNT

Ordine 400771.xlxs.exe
MD5E8F923EA8381E6C48024D0DE225C8AC2
Dimensione: 600064 Bytes
VirITTrojan.Win32.AgentTesla.CNU

Aprendo il file EXCEL presente nel allegato della mail possiamo vedere che ha al suo interno una MACRO, quale una volta lanciata, esegue un collegamento tramite il PowerShell di Windows al sito "http://95.214.8[.]54" e provvedere a scaricare il payload "Ordine 400771.xlxs.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: jedro82.adriadns[.]com  -> 85.17.123[.]84 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@dr[.]com

IOC:
1C6ACFAD45E467F2F2CA0807856C9102
E8F923EA8381E6C48024D0DE225C8AC2


Torna ad inizio pagina

03 novembre 2020

Adwind

 
 
Purchase_order2.jar
MD56447727B4FE5619ACE577EE38BDF87C9
Dimensione: 94199 Bytes
VirITTrojan.Java.Adwind.CNV

All'interno dell'archivio compresso "Purchase_order2.zip" è presente il file "Purchase_order2.jar" infetto dal password stealer Adwind.

IOC:
6447727B4FE5619ACE577EE38BDF87C9
ciko77.hopto[.]org
 
 

04 novembre 2020

Remcos

 
 
INFO5NOVEMBER2020NS10.exe
MD5DDE6CE1AF6F714D304C97F76C83DD13F
Dimensione: 675520 Bytes
VirITTrojan.Win32.PSWStealer.CNW

All'interno dell'archivio compresso "INFO5NOVEMBER2020NS10.iso" è presente il file "INFO5NOVEMBER2020NS10.exe" infetto dal password stealer Remcos.

IOC:
DDE6CE1AF6F714D304C97F76C83DD13F
uzbektourism8739.ddns[.]net => 185.140.53[.]129

AgentTesla

 
 
2020.11.04 MEP PO_4520011328.exe
MD55AFE5BC424A3D68004B25F105AF9C379
Dimensione: 599552 Bytes
VirITTrojan.Win32.PSWStealer.CNW

All'interno dell'archivio compresso "2020.11.04 MEP PO_4520011328.iso" è presente il file "2020.11.04 MEP PO_4520011328.exe" infetto dal password stealer AgentTesla

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

IOC:
5AFE5BC424A3D68004B25F105AF9C379
193.56.28[.]218

Phorpiex

 
 
Photo-158-142.jpg.scr
MD52282FB1BB910B3E0745775A24452A8B8
Dimensione: 15872 Bytes
VirITTrojan.Win32.Phorpiex.COB

winsvcs.exe
MD50330CA15737B3FB862072CFA22BAFE01
Dimensione: 68096 Bytes
VirITTrojan.Win32.Genus.CNX

IOC:
2282FB1BB910B3E0745775A24452A8B8
0330CA15737B3FB862072CFA22BAFE01

trik[.]ws
304049943[.]ws

Azorult

 
Richiesta di offerta__pdf.exe
MD54AA86D667D259AA393E66BF9DFBB2C87
Dimensione: 1064448 Bytes
VirITTrojan.Win32.PSWStealer.CNX

All'interno dell'archivio compresso "Richiesta di offerta__pdf.gz" è presente il file "Richiesta di offerta__pdf.exe" infetto dal password stealer Azorult.
 

IOC:
4AA86D667D259AA393E66BF9DFBB2C87
95.181.155[.]68

05 novembre 2020

AgentTesla

 
 
OrdFor_[..]_DD_20201104082305.xlsm
MD5AE9DFA8376A3AE9E8D7A80B639A1E909
Dimensione: 22108 Bytes
VirITX97M.Downloader.CNZ

cqyeqexdf.exe
MD5BEA248598C663D948E0ACACC45520392
Dimensione: 873984 Bytes
VirITTrojan.Win32.PSWStealer.CNZ

Aprendo il file EXCEL presente nel allegato della mail possiamo vedere che ha al suo interno una MACRO, quale una volta lanciata, esegue un collegamento tramite il PowerShell di Windows al sito "http://185.212.128[.]97" e provvede a scaricare il payload "cqyeqexdf.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

Le credenziali e i dati rubati rubate vengono inviate attraverso un bot Telegram ad una chat privata di Telegram.

Di seguito i dati di configurazione del bot Telegram:
BOT ID: 1<REDACTED>9
USERNAME: b
<REDACTED>_bot
CHAT_ID: 1
<REDACTED>0

IOC:
AE9DFA8376A3AE9E8D7A80B639A1E909
BEA248598C663D948E0ACACC45520392

185.212.128[.]97

Ave_Maria

 
 
Fattura.doc
MD5662333C137BE451FE5994B73E8852C82
Dimensione: 217942 Bytes
VirITTrojan.RTF.Dropper.CNZ

windows.exe
MD52118A0FFEEFD00F96FA754F8CCACB685
Dimensione: 1560064 Bytes
VirITTrojan.Win32.Avemaria.COA

Il file allegato alla mail è un RTF malevolo che, attraverso Powershell, scarica il payload collegandosi al sito "http://52.255.199[.]232". Il file scaricato ed eseguito "windows.exe" è infetto dal password stealer Ave_Maria .

IOC:
662333C137BE451FE5994B73E8852C82
2118A0FFEEFD00F96FA754F8CCACB685
52.255.199[.]232

Adwind

 
 
Purchase Order 5-11-2020.jar
MD5D3BEAA3255348F63F93E0188F6E12312
Dimensione: 103017 Bytes
VirITTrojan.Java.Adwind.CNZ

All'interno dell'archivio compresso "Purchase Order 5-11-2020.zip" è presente il file "Purchase Order 5-11-2020.jar" infetto dal password stealer Adwind.

IOC:
D3BEAA3255348F63F93E0188F6E12312
ciko77.hopto[.]org


06 novembre 2020

LokiBot

 
 
printserver8791934940090187195.exe
MD5923E5D0E033E99E47BCDA3AEBB518C02
Dimensione: 815104 Bytes
VirITTrojan.Win32.Injector.COA

All'interno dell'archivio compresso "printserver8791934940090187195.iso" è presente il file "printserver8791934940090187195.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
923E5D0E033E99E47BCDA3AEBB518C02
195.69.140[.]147

AgentTesla

 
 
Order 67543_pdf.exe
MD52174CE8099A8CC155B101CB21F101C7B
Dimensione: 740864 Bytes
VirITTrojan.Win32.AgentTesla.COP

All'interno dell'archivio compresso "Order 67543_pdf.gz" è presente il file "Order 67543_pdf.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com  -> 208.91.199[.]225 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@cherniesa[.]com

IOC:
2174CE8099A8CC155B101CB21F101C7B
 
 

Consulta le campagne del mese di Ottobre/Novembre

Vi invitiamo a consultare i report del mese di Ottobre/Novembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
24/10/2020 = Report settimanale delle campagne italiane di Malspam dal 24 ottobre al 30 ottobre 2020
17/10/2020 = Report settimanale delle campagne italiane di Malspam dal 17 ottobre al 23 ottobre 2020
10/10/2020 = Report settimanale delle campagne italiane di MalSpam dal 10 ottobre al 16 ottobre 2020
03/10/2020 = Report settimanale delle campagne italiane di MalSpam dal 03 ottobre al 09 ottobre 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283