Selected news item is not available in the requested language.

Italian language proposed.

Close

16/11/2020
11:20

2020W46 Report settimanale= > 14-20/11 2K20 campagne MalSpam target Italia


Malware veicolati attraverso le campagne: Ursnif, AgentTesla, FormBook, Neshta, Ave_Maria, Remcos, Adwind
       
week46

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 14 novembre al 20 novembre 2020: UrsnifAgentTesla, FormBook, Neshta, Ave_Maria, Remcos, Adwind

INDICE

==> 16 novembre 2020 => PWStealer & Neshta (1), AgentTesla (1)

==> 17 novembre 2020 => Ursnif (3), AgentTesla (1)

==> 18 novembre 2020 => AgentTesla (2), FormBook (1), Ave_Maria (1), Remcos (1)

==> 19 novembre 2020 => Ursnif (1), AgentTesla (1), Adwind (1)

==>
 20 novembre 2020 => AgentTesla (1), Adwind (1), Ave_Maria (1)
             
==> Consulta le campagne del mese di Ottobre/Novembre


Nella settimana corrente vi è stato un aumento delle campagne totali mentre si nota una flessione delle campagne mirate all'utenza italiana.
Continua, come le settimane scorse, l'assenza del malware Emotet.
Presente il Trojan Banker Ursnif con 3 campagne distinte nell'arco della settimana.
Rimangono presenti vari Password Stealer come ad esempio AgentTesla ed Ave_Maria.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 156 le campagne che abbiamo monitorato, di cui 17 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
dal al
Week_43 24/10 30/10
Week_44 31/10 06/11
Week_45 07/11 13/11
Week_46 14/11 20/11


Nella settimana corrente il picco totale delle campagne si è riscontrato mercoledì 18 novembre con 42 campagne, che è anche il giorno del picco delle campagne rivolte ad utenza italiana con 5 campagne, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 66,67% dei malware inviati via mail, seguito dal 13,46% di sample Delphi.
Il 12,82% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP
 

16 novembre 2020

PWStealer infetto da Neshta

 
 
PAGAMENTI OTTOBRE copia 567329_pdf.exe
MD5AFEACC939AA01ED4CECBF85209371C32
Dimensione: 834048 Bytes
VirITTrojan.Win32.PSWStealer.COM
 
All'interno dell'archivio compresso "PAGAMENTI OTTOBRE copia 567329_pdf.gz" è presente il file "PAGAMENTI OTTOBRE copia 567329_pdf.exe" un malware per rubare i dati (Password Stealer).

Il file malevolo è a sua volta infetto dal virus chiamato "Neshta". Il suo scopo è quello di infettare i file eseguibili presenti nella macchina con il suo codice malevolo. 

IOC:
AFEACC939AA01ED4CECBF85209371C32

AgentTesla

 
 
Unicredit_banca_17-11-20_pdf.exe
MD5A51B8A76C53FA57FFEE65F6493891CEE
Dimensione: 730112 Bytes
VirITTrojan.Win32.AgentTesla.COP

All'interno dell'archivio compresso "Unicredit_banca_17-11-20_pdf.img" è presente il file "Unicredit_banca_17-11-20_pdf.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: lcp11.creativeon.net  -> 147.135.49[.]177 Porta: 25
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@meyaargroup[.]com

IOC:
A51B8A76C53FA57FFEE65F6493891CEE


17 novembre 2020

Ursnif

 
 
sviluppo_economico_20__17.xlsb
MD51D52BC651501078BDC0BB89F03AA103D
Dimensione: 111080 Bytes
VirITX97M.Ursnif.COO

[PAYLOAD URSNIF]
MD5652CB9987CE27F1C044A8DE7EFEBD73E
Dimensione: 127320 Bytes
VirITTrojan.Win32.Ursnif.COO

Versione: 250162
Gruppo: 7238
Key: 10291029JSJUYNHG
 

Aprendo il file excel "sviluppo_economico_20__17.xlsb" possiamo vedere che si tratta di una finta comunicazione del Ministero dell'Economia e delle Finanze, una volta avviata la macro scarica il malware Ursnif dal sito liveswindows[.]bar e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: blogicstatus[.]com
 
IOC:
1D52BC651501078BDC0BB89F03AA103D
652CB9987CE27F1C044A8DE7EFEBD73E
liveswindows[.]bar
blogicstatus[.]com

Ursnif

 
 
Aprendo il file excel "Fattura 96317.xls" possiamo vedere che si tratta di una finta fattura del corriere Bartolini, una volta avviata la macro scarica il malware Ursnif dal sito entratell.com e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: deleghe.org

Fattura 96317.xls
MD53F556DE60EA9E7477AB8D08A74FE5EEE
Dimensione: 44544 Bytes
VirITX97M.Ursnif.COO

[PAYLOAD URSNIF]
MD5E1DCA134544906777F356B7D05218CC6
Dimensione: 137712 Bytes
VirITTrojan.Win32.Ursnif.COO

Versione: 250162
Gruppo: 4343
Key: 21291029JSJUXMPP
 

La campagna riportata sotto ha la stessa configurazione e lo stesso payload del Ursnif, come modificato è stato cambiato soltanto il file Excel e la tematica della mail.


 
 
360355 .xls
MD5448603C38728E230719175634B3F91BD
Dimensione: 44544 Bytes
VirITX97M.Ursnif.COO

IOC:
3F556DE60EA9E7477AB8D08A74FE5EEE
448603C38728E230719175634B3F91BD
E1DCA134544906777F356B7D05218CC6
entratell[.]com
deleghe[.]org


AgentTesla

 
 
Richiesta Urgente.pdf.exe
MD50D8A0AE0390F622D779E3AEA1C46BBA7
Dimensione: 800768 Bytes
VirITTrojan.Win32.PSWStealer.COO

All'interno dell'archivio compresso "Richiesta Urgente.pdf.zip" è presente il file "Richiesta Urgente.pdf.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp:
fly.nseasy.com -> 
64.37.52[.]42 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@wetwoengg[.]in

IOC:
0D8A0AE0390F622D779E3AEA1C46BBA7
 


Torna ad inizio pagina

18 novembre 2020

FormBook

 
 
Slip.exe
MD52E281C8BB9C1F19ACBF80DAE19B44F4A
Dimensione: 721920 Bytes
VirITTrojan.Win32.Injector.COQ

All'interno dell'archivio compresso "Slip.rar" è presente il file "Slip.exe" infetto dal password stealer FormBook.
 
IOC:
2E281C8BB9C1F19ACBF80DAE19B44F4A
thelifewaykefir[.]com

AgentTesla

 
 
fattura a saldo lavori etra bassano del grappa.xls
MD5B534235B7D0ED0F7B7C775D11262669C
Dimensione: 335360 Bytes
VirITW97M/Downloader.T

411.exe
MD52398469593C9DEC9561A556B30F6D63A
Dimensione: 386048 Bytes
VirITTrojan.Win32.PSWStealer.COP

All'interno del file excel che troviamo nei allegati della mail infetta, troviamo una macro, quale una volta lanciata esegue un collegamento al sito "sparepartiran[.]com" e scarica il payload del password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: us2.outbound.mailhostbox[.]com  -> 208.91.199[.]223  Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@marika-pp[.]us

IOC:
B534235B7D0ED0F7B7C775D11262669C
2398469593C9DEC9561A556B30F6D63A

sparepartiran[.]com

Ave_Maria

 
 
Documento relativo al carico e alla spedizione del cliente_italy2020.exe
MD5D7E78AC07F8A32023418B5E4B12803F0
Dimensione: 34216 Bytes
VirITTrojan.Win32.PSWStealer.COQ

All'interno dell'archivio compresso "Documento relativo al carico e alla spedizione del cliente_italy2020.arj" è presente il file "Documento relativo al carico e alla spedizione del cliente_italy2020.exe" infetto dal password stealer Ave_Maria.

IOC:
D7E78AC07F8A32023418B5E4B12803F0
178.170.138[.]163

AgentTesla

 
 
OI19233-3.exe
MD56207B5B7C30F29CDB9E7263D40D55997
Dimensione: 1089536 Bytes
VirITTrojan.Win32.PSWStealer.COQ

All'interno dell'archivio compresso "OI19233-3.rar" è presente il file "OI19233-3.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp:
pantallazoazul.zonasprivadasdns[.]com  -> 217.61.130[.]138  Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@talleresgenerauto[.]es

IOC:
6207B5B7C30F29CDB9E7263D40D55997

Remcos

 
 
Dell_Ordine_04932_18_11_2020_.xls.scr
MD587469760928082DCD1E247C8F829E25C
Dimensione: 71217 Bytes
VirITTrojan.Win32.PSWStealer.COS

All'interno dell'archivio compresso "Dell_Ordine_04932_18_11_2020_.xz" è presente il file "Dell_Ordine_04932_18_11_2020_.xls.scr" infetto dal password stealer Remcos.

IOC:
87469760928082DCD1E247C8F829E25C
103.139.45[.]59
 
 
 

19 novembre 2020

Ursnif

 
 
sviluppo_economico_19__526.xls
MD51B8D432D07A1638BE29FB6578736CDDE
Dimensione: 418304 Bytes
VirITX97M.Ursnif.COS

[PAYLOAD URSNIF]
MD5B1A199B3BD47CB4AF5A75328C0A8ED36
Dimensione: 128584 Bytes
VirITTrojan.Win32.Ursnif.COS

Versione: 250162
Gruppo: 7238
Key: 10291029JSJUYNHG  
 

Aprendo il file excel "sviluppo_economico_19__526.xls" possiamo vedere che si tratta di una finta comunicazione del Ministero dell'Economia e delle Finanze, una volta avviata la macro scarica il malware Ursnif dal sito connectionline[.]cyou e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: blogicstatus[.]com
 
IOC:
1B8D432D07A1638BE29FB6578736CDDE
B1A199B3BD47CB4AF5A75328C0A8ED36
connectionline[.]cyou
blogicstatus[.]com

AgentTesla

 
 
All'interno dell'archivio compresso "Bonifico.7z" sono presenti i file "bonifico_bancario_Doc.exe" e "invoice_4537_pdf.exe" infetti dal password stealer AgentTesla.

bonifico_bancario_Doc.exe
MD59E198B4C4B428D26BA50EEB2DC11E56A
Dimensione: 865280 Bytes
VirITTrojan.Win32.AgentTesla.COS

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: iva8-174eb672ffa9.qloud-c.yandex[.]net  -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

invoice_4537_pdf.exe
MD539B7092A290A6BDB32AEEB6E19729486
Dimensione: 605696 Bytes
VirITTrojan.Win32.PSWStealer.COS

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp:
sas8-b61c542d7279.qloud-c.yandex[.]net  -> 77.88.21[.]158  Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

IOC:
9E198B4C4B428D26BA50EEB2DC11E56A
39B7092A290A6BDB32AEEB6E19729486

Adwind

 
 
bonifici-LaFonte.jar
MD501FB16F22054000C96AD7340DDC7FF90
Dimensione: 71217 Bytes
VirITTrojan.Java.Adwind.COT

All'interno dell'archivio compresso "bonifici-LaFonte.zip" è presente il file "bonifici-LaFonte.jar" infetto dal password stealer Adwind.

IOC:
01FB16F22054000C96AD7340DDC7FF90
172.93.165[.]213
95.217.228[.]176 
 



20 novembre 2020

AgentTesla

 
 
All'interno della mail sono presenti due allegati: l'archivio compresso "Pagamento.zip" che contiene al suo interno il file "Pagamento.exe" e il file eseguibile "fattura.exe" infetti dal password stealer AgentTesla.

fattura.exe
MD5AC16B512E9DE9308FA69B78AF1FAED07
Dimensione: 618496 Bytes
VirITTrojan.Win32.AgentTesla.COT

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp:
bh-37.webhostbox[.]net  -> 162.222.226[.]70 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@greatdeck[.]co

Pagamento.exe
MD5B8197D8952605EA1ED36EA874152A251
Dimensione: 617472 Bytes
VirITTrojan.Win32.AgentTesla.COT

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp:
bh-37.webhostbox[.]net  -> 162.222.226[.]70 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@greatdeck[.]co

IOC:
AC16B512E9DE9308FA69B78AF1FAED07
B8197D8952605EA1ED36EA874152A251


Adwind

 
 
Dettagli d acquisto.jar
MD59B5A19D6FB2538B8A2D1CF6A39703307
Dimensione: 98289 Bytes
VirITTrojan.Java.Adwind.COV

All'interno dell'archivio compresso "Dettagli d acquisto.zip" è presente il file "Dettagli d acquisto.jar" infetto dal password stealer Adwind.

IOC:
9B5A19D6FB2538B8A2D1CF6A39703307
96.9.226[.]16
95.217.228[.]176
marshost.publicvm[.]com

Ave_Maria

 
 
Fattura.pif
MD5A312BD9B4A985F27568773AC3BEE8A12
Dimensione: 759280 Bytes
VirITTrojan.Win32.Avemaria.COV

All'interno dell'archivio compresso "6AC4D440A86P08B5M8674AC006748832I.7z" è presente il file "Fattura.pif" infetto dal password stealer Ave_Maria.

IOC:
A312BD9B4A985F27568773AC3BEE8A12
 
 

 

Consulta le campagne del mese di Ottobre/Novembre

Vi invitiamo a consultare i report del mese di Ottobre/Novembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
07/11/2020 = Report settimanale delle campagne italiane di Malspam dal 07 novembre al 13 novembre 2020
31/10/2020 = Report settimanale delle campagne italiane di Malspam dal 31 ottobre al 06 novembre 2020
24/10/2020 = Report settimanale delle campagne italiane di MalSpam dal 24 ottobre al 30 ottobre 2020
17/10/2020 = Report settimanale delle campagne italiane di MalSpam dal 17 ottobre al 23 ottobre 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: