TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month Vir.IT eXplorer PRO dal 2016 Certificato ICSA Labs

Vir.IT eXplorer PRO dal 2016 Certificato VB100

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

21/12/2020 10:36:38 - 2020W51 Report settimanale= > 19-25/12 2K20 campagne MalSpam target Italia

       
week51

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 19 dicembre al 25 dicembre 2020: Emotet, FormBook, NetWire, Downloader, Remcos, QakBot

INDICE

==> 21 dicembre 2020 => Emotet (8), NetWire (1), FormBook (1)

==> 22 dicembre 2020 => Emotet (12),  FormBook (1), Downloader (1)

==> 23 dicembre 2020 => Remcos (1), QakBot (1)
             
==> Consulta le campagne del mese di Novembre/Dicembre


Nella settimana monitorata vi è stato un lieve calo delle campagne totali, ma un aumento di quelle mirate all'utenza italiana, questo soprattutto perchè è ritornato il malware Emotet.
Il Trojan Banker Ursnif non ha effettuato nessuna campagna rivolta ad utenza italiana, rimangono però presenti vari Password Stealer come ad esempio
FormBook, NetWire.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguarda le campagne scritte in italiano (con target Italia).
In questa settimana sono state 86 le campagne che abbiamo monitorato, di cui 26 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivisione dei periodi presi in considerazione:

Settimana
dal al
Week_48 28/11 04/12
Week_49 05/12 11/12
Week_50 12/12 18/12
Week_51 19/12 25/12


Nella settimana corrente il picco totale delle campagne si è riscontrato lunedì 21 dicembre con 28 campagne, il picco delle campagne rivolte ad utenza italiana invece è martedì 22 dicembre con 14 diverse campagne, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 54,65% dei malware inviati via mail, seguita con il 6,98% di sample Delphi.
Il 36,05% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

EMOTET


Durante la settimana monitorata vi è stato anche il ritorno del malware Emotet, le campagne malspam sono state veicolate da lunedì 21 a mercoledì 23 dicembre fino all'una di notte.

Riportiamo sotto un esempio di mail attraverso la quale viene diffusa la campagna malspam di Emotet: in questo caso l'email contiene un link ad un sito malevolo che se cliccato porta al download di un file DOC che una volta aperto tramite una MACRO scarica il payload del malware Emotet.


Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne 
Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana:


Scarica il file di testo degli IOC delle campagne Emotet.

 

21 dicembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


Emotet

 
 
5849-122020.doc
MD567777F4603F15B8E2E4D7C1D53AFB10D
Dimensione: 195128 Bytes
VirITW97M.Emotet.CQI

[PAYLOAD EMOTET]
MD5B9345638E82F618B839FAE9C9C52DA7A
Dimensione: 228864 Bytes
VirITTrojan.Win32.Emotet.CQI

IOC:
67777F4603F15B8E2E4D7C1D53AFB10D
B9345638E82F618B839FAE9C9C52DA7A

parakkunnathtemple[.]com
helionspharmaceutical[.]com
s://accordiblehr[.]com
s://snjwellers[.]com
s://norailya[.]com
s://whytech[.]info
resuco[.]net

NetWire

 
  
documento di pagamento 88B635.exe
MD50522547A594910067DBDE8A7032238F7
Dimensione: 1126400 Bytes
VirITTrojan.Win32.NetWire.CQJ

All'interno dell'archivio compresso "documento di pagamento 88B635.cab" è presente il file "documento di pagamento 88B635.exe" infetto dal password stealer NetWire.

IOC:
0522547A594910067DBDE8A7032238F7
194.5.97[.]169


FormBook

 
  
RTV900021234.exe
MD50E793402FF4EE0D3E6B3E5EDAE0C8652
Dimensione: 206336 Bytes
VirITTrojan.Win32.Formbook.CQJ

All'interno dell'archivio compresso "F839949.zip" è presente il file "RTV900021234.exe" infetto dal password stealer FormBook.

IOC:
0E793402FF4EE0D3E6B3E5EDAE0C8652
sgtradingusa[.]com
superherospirit[.]com
unitvn[.]com
packerssandmover[.]online
broderies-admc[.]com
localcryptod[.]com
recetasnutribullet[.]com
grayfoxden[.]com
campingpt[.]com
wozhebank[.]com
euroticie[.]info
futurehawick[.]com
posdonanim[.]com
 


22 dicembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


FormBook

 
 
myglory.exe
MD57A42EA0E6745BF2A969DECA24DF3F36C
Dimensione: 3269632 Bytes
VirITTrojan.Win32.PSWStealer.CQK

All'interno dell'archivio compresso "BONIFICO.rar" è presente il file "myglory.exe" infetto dal password stealer FormBook.

IOC:
7A42EA0E6745BF2A969DECA24DF3F36C
lhc965[.]com
registeredagentfirm[.]com
mywillandmylife[.]com

Downloader

 
 
documento di pagamento 04Y735.exe
MD5B7963C1E02FECAB6E327050A81C0BABB
Dimensione: 797336 Bytes
VirITTrojan.Win32.Dwnldr.CQL

 
Aprendo il file eseguibile che si trova dentro l'archivio, effettua un collegamento al cloud di Discord per scaricare un probabile payload di un malware, lo scaricamento non è andato a buon fine a causa del file non più presente. 

IOC:
B7963C1E02FECAB6E327050A81C0BABB


Torna ad inizio pagina

23 dicembre 2020


Remcos

 
 
2021_[..].exe
MD552CF9F273A1B6195F344C74D6188DD23
Dimensione: 626328 Bytes
VirITTrojan.Win32.Remcos.CQM

All'interno dell'archivio compresso "2021_[..].rar" è presente il file "2021_[..].exe" infetto dal password stealer Remcos.

IOC:
52CF9F273A1B6195F344C74D6188DD23

QakBot

 
 
Aprendo il file excel "Document_15571582-12232020-Copy.xlsm" al suo interno troviamo una macro, la quale una volta avviata effettua un collegamento al sito "drainratflap[.]com" per scaricare ed eseguire il payload del malware QakBot. 

Document_15571582-12232020-Copy.xlsm
MD50966555090587EF2BBD858ED9D5B66AE
Dimensione: 25777 Bytes
VirITX97M.QakBot.CQN

[PAYLOAD QAKBOT]
MD55469B57E7F4560381B1BE3AC0213C434
Dimensione: 2527744 Bytes
VirITTrojan.Win32.QakBot.CQN

IOC:
0966555090587EF2BBD858ED9D5B66AE
5469B57E7F4560381B1BE3AC0213C434
drainratflap[.]com
 
 
 

Consulta le campagne del mese di Novembre/Dicembre

Vi invitiamo a consultare i report del mese di Novembre/Dicembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
12/12/2020 = Report settimanale delle campagne italiane di Malspam dal 12 dicembre al 18 dicembre 2020
05/12/2020 = Report settimanale delle campagne italiane di Malspam dal 05 dicembre al 11 dicembre 2020
28/11/2020 = Report settimanale delle campagne italiane di MalSpam dal 28 novembre al 04 dicembre 2020
21/11/2020 = Report settimanale delle campagne italiane di MalSpam dal 21 novembre al 27 novembre 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283