Emotet
Lunedì 7 ottobre 2019 il
C.R.A.M. di
TG Soft ha analizzato varie campagne di malspam, tra cui quella che tramite un documento Word che all'interno contiene un MACRO scarica il
Trojan Banker Emotet
Di seguito un esempio di email analizzata:
MESSAGIO 2019.doc
MD5: ddd91c2e1a18db5f43dc01d678faf5b6
Dimensione: 162816 Bytes
VirIT: W97M.Downloader.BSZ
tabletpublish.exe
MD5: 482fa3cc6397a63610118ea021c0628f
Dimensione: 274432 Bytes
VirIT: Trojan.Win32.Emotet.BSZ
IOC:
ddd91c2e1a18db5f43dc01d678faf5b6
482fa3cc6397a63610118ea021c0628f
p://efectivafm[.]com/wp-includes/fde9lts8/
p://www.thepartnerships[.]com/lwyqoup/ikl1423/
s://techecn[.]com/installl/41v4ggw7075/
s://dahuanigeria[.]com/cgi-bin/635/
s://capitalpremiumfinancinginc[.]com/cgi-bin/v53/
NanoCore
Sempre in data 07 ottobre 2019 è stata riscontrata un'altra campagna di malspam che veicolava il malware
NanoCore
All'interno del file zippato "
orderinrequest.r11 " è presente il payload del malware con le seguenti caratteristiche:
orderinrequest.exe
MD5: 18cba9b1bdc4d40df26b2aa55bac776b
Dimensione: 1270272 Bytes
VirIT:
Trojan.Win32.PSWStealer.BSZ
IOC:
18cba9b1bdc4d40df26b2aa55bac776b
LokiBot
Sempre in data 7 ottobre 2019 altra massiva campagna di malspam che veicola il malware
LokiBot, qui di seguito uno degli esempi di email analizzata:
In allegato è presente un file zippato "
OC_19004178_Rev_0.rar " con all'interno il file eseguibile del malware.
OC_19004178_Rev_0.exe
MD5: 3a7d029a01a5bcea45449e682fdd2e22
Dimensione: 987136 Bytest
VirIT: Trojan.Win32.PSWStealer.BTA
IOC:
3a7d029a01a5bcea45449e682fdd2e22
p:// sun-clear.net
5.101.51[.]113
p://alphastand[.]trade/alien/fre.php
s://sun-clear[.]net:8443
FTCode
Una campagna massiva di malspam tramite account PEC analizzata dal C.R.A.M. di TG Soft che distribuisce il ransomware FTCode.
Oggetto della mail "
SOLLECITO diffida e messa in mora ":
All'interno del file zippato è presente un documento Word che tramite una MACRO andrà a scaricare nel PC della vittima il ransomware per la cifratura dei file presenti nel PC stesso con estensione " .FTCode ", chiedendo poi un riscatto in denaro per poterli riavere.
La versione di FTCode analizzata è la " 1003.1 " e nel caso venisse eseguito con diritti di amministratore avrebbe la possibilità di cancellare le shadowcopy di Windows.
In figura sottostante istruzioni del riscatto del ransmoware FTCode.
New_Scan.doc
MD5: d5923caed11ad3fee6d0a6faec08c580
Dimensione: 11534337 Bytes
VirIT:
W97M.Downloader.BSZ
WindowsIndexingService.vbs
MD5: ac58dc907d10641ed1afd542b636249e
Dimensione: 147990 Bytes
VirIT:
Trojan.VBS.Dwnldr.BSZ
IOC:
d5923caed11ad3fee6d0a6faec08c580
ac58dc907d10641ed1afd542b636249e
Ursnif
Campagna di malspam che veicola il Trojan Banker Ursnif tramite l'apertura di un documento Excel in allegato alla mail con oggetto " Notifica emissione nuova fattura DHL MIL0001730486 " del 07 ottobre 2019:
Il documento Excel presente come allegato "MIL0001730486.xls" della mail analizzata contiene una MACRO che sfruttando un codice offuscato che andrà a scaricare il Trojan Banker Ursnif per infettare il computer e poterne carpire i dati.
MIL0001730486.xls
MD5: 52438f028add40e96a58ea3e110429b9
Dimensione: 80384 Bytes
VirIT:
X97M.Downloader.HP
Gruppo ID: 2051
Versione: 214085
Chiave: 10291029JSJUYUON |
Emotet
Campagna di malspam che veicola il
Trojan Banker Emotet tramite l'apertura di un documento Word in allegato alla mail con un esempio di oggetto "
Il tuo ordine su Eurotex è stato completato " del 08 ottobre 2019:
Doc_102019_9_4456.doc
MD5: 7a71c3736c6f68071a4b7d9349c9a5cb
Dimensione: 295936 Bytes
VirIT:
W97M.Downloader.BTB
tabletpublish.exe
MD5: e6199654a01488abdfdd58877743ca7f
Dimensione: 217600 Bytes
VirIT:
Trojan.Win32.Emotet.BTB
IOC:
7a71c3736c6f68071a4b7d9349c9a5cb
e6199654a01488abdfdd58877743ca7fs://halloweendayquotess[.]com/wp-content/5o40y5w7760/
s://pentechplumbing[.]com/wp-content/ovp35378/
s://joangorchs[.]com/5tvk/gy6154/
s://physicaltrainernearme[.]com/yabu/9xnjf4183/
p://yensaogianguyen[.]com/wp-includes/rp802oi00/
Torna ad inizio pagina
Ursnif
Campagna di malspam che veicola il Trojan Banker Ursnif tramite l'apertura di un file zippato che viene scaricato al momento del click sul link presente nella mail. Nel file zippato è presente un file VBS " Nuovo documento 12.vbs "
Nuovo documento 12.vbs
MD5: c211e5bd88921e60a10c2aff06d92a12
Dimensione: 3368646 Bytes
VirIT:
Trojan.VBS.Dwnldr.BTB
VideoBoost.exe
MD5: eadc52f7242f232ce611ba9ab6b5d543
Dimensione: 193560 Bytes
VirIT:
Trojan.Win32.Ursnif.LG
Gruppo ID: 7512
Versione: 300751
Chiave: Htr6bFer4Yc8fbsd |
IOC:
c211e5bd88921e60a10c2aff06d92a12
eadc52f7242f232ce611ba9ab6b5d543
p://prodartsfans.]com/rxku?hgpih=37920
212.42.121[.]53
p://customwastereceptacles[.]com/pagkype32.php
s://enrichcollege[.]xyz
45.140.168[.]68
s://suckpussycat[.]com/index.html
s://atomoton[.]xyz
FTCode
In data 09 ottobre 2019 è stato riscontrata una nuova ondata di attacco del ransomware
FTCode scaricato dal
Trojan JasperLoader. La versione del ransomware
FTCode in questione è la "1008.1" che si connette al sito " http://ceco[.[jasonrsheldon[.]com/ "
Estensioni dei file che possono essere cifrati sono:
"*.sql","*.mp4","*.7z","*.rar","*.m4a","*.wma","*.avi","*.wmv","*.csv","*.d3dbsp",
"*.zip","*.sie","*.sum","*.ibank","*.t13","*.t12","*.qdf","*.gdb","*.tax","*.pkpass",
"*.bc6","*.bc7","*.bkp","*.qic","*.bkf","*.sidn","*.sidd","*.mddata","*.itl","*.itdb",
"*.icxs","*.hvpl","*.hplg","*.hkdb","*.mdbackup","*.syncdb","*.gho","*.cas",
"*.svg","*.map","*.wmo","*.itm","*.sb","*.fos","*.mov","*.vdf","*.ztmp","*.sis",
"*.sid","*.ncf","*.menu","*.layout","*.dmp","*.blob","*.esm","*.vcf","*.vtf",
"*.dazip","*.fpk","*.mlx","*.kf","*.iwd","*.vpk","*.tor","*.psk","*.rim","*.w3x","*.fsh",
"*.ntl","*.arch00","*.lvl","*.snx","*.cfr","*.ff","*.vpp_pc","*.lrf","*.m2","*.mcmeta",
"*.vfs0","*.mpqge","*.kdb","*.db0","*.dba","*.rofl","*.hkx","*.bar","*.upk",
"*.das","*.iwi","*.litemod","*.asset","*.forge","*.ltx","*.bsa","*.apk","*.re4",
"*.sav","*.lbf","*.slm","*.bik","*.epk","*.rgss3a","*.pak","*.big","*wallet",
"*.wotreplay","*.xxx","*.desc","*.py","*.m3u","*.flv","*.js","*.css","*.rb","*.png",
"*.jpeg","*.txt","*.p7c","*.p7b","*.p12","*.pfx","*.pem","*.crt","*.cer","*.der",
"*.x3f","*.srw","*.pef","*.ptx","*.r3d","*.rw2","*.rwl","*.raw","*.raf","*.orf","*.nrw",
"*.mrwref","*.mef","*.erf","*.kdc","*.dcr","*.cr2","*.crw","*.bay","*.sr2","*.srf",
"*.arw","*.3fr","*.dng","*.jpe","*.jpg","*.cdr","*.indd","*.ai","*.eps","*.pdf",
"*.pdd","*.psd","*.dbf","*.mdf","*.wb2","*.rtf","*.wpd","*.dxg","*.xf","*.dwg",
"*.pst","*.accdb","*.mdb","*.pptm","*.pptx","*.ppt","*.xlk","*.xlsb","*.xlsm",
"*.xlsx","*.xls","*.wps","*.docm","*.docx","*.doc","*.odb","*.odc","*.odm",
"*.odp","*.ods","*.odt" |
I file che verranno cifrati avranno estensione casuale alfanumerica di 6 caratteri esempio "
nomefile.
estensione.
19346a "
Emotet
Anche in data 09 ottobre 2019 i ricercatori del
C.R.A.M. di
TG Soft hanno analizzato un'altra campagna di malspam che veicola il
Trojan Banker Emotet, qui di seguito un esempio di email contente un documento che se avviato andrà a scaricare il malware:
file_09_102019_1728088.doc
MD5: cce04e853f9ff9bbd0317d0916e947d0
Dimensione: 314368 Bytes
VirIT:
W97M.Downloader.BTD
tabletpublish.exe
MD5: 476b81105a59df1f9913256059d20f6d
Dimensione: 626688 Bytes
VirIT:
Trojan.Win32.Emotet.BSR
IOC:
cce04e853f9ff9bbd0317d0916e947d0
476b81105a59df1f9913256059d20f6d
s://thinktobehappy[.]com/gtxvys/30201/
s://www.bonvies[.]com/preisinfo/p79846/
s://parishadtoday[.]com/1cm15r/xog62eh983/
s://www.organizersondemand[.]com/cgi-bin/m719694/
p://www.lindasamson[.]com/vjhoqx/n46759/
Ursnif
Campagna che distribuisce il Trojan Banker Ursnif tramite l'invio massimo di email che sembrano far pensare ad una notifica di atto da un presunto avvocato dove è necessario cliccare sul link per scaricarne una copia.
Al momento del click sul link si viene reindirizzati su un sito dove viene visualizzato di salvare un file zippato " Nuovo documento 10.zip " che al suo interno contiene un file VBS con lo stesso nome del file zippato. Se il file VBS viene eseguito andrà a scaricare il payload del malware Ursnif per infettare il PC e carpire i dati di accesso del malcapitato
Nuovo documento 10.vbs
MD5: a2e133e033ba3fe07b83b1e30b55154d
Dimensione: 3546224 Bytes
VirIT: Trojan.VBS.Downloader.BTD
VideoBoost.exe
MD5: ed16fe67d8d29f1873d9e784d428f8fc
Dimensione: 193536 Bytes
VirIT: Trojan.Win32.Ursnif.LH
Gruppo ID: 7070
Versione: 214085
Chiave: 10291029JSJUYUON |
IOC:
a2e133e033ba3fe07b83b1e30b55154d
ed16fe67d8d29f1873d9e784d428f8fcp://forensicpursuit[.]info
p://finemineraldealers[.]co
p:// proboxingfans[.]com
p://link[.]emilystravel1[.]com
82[.]118.22.43
p://link[.]mesondelprincipe.com
p://link[.]406lawyers.net
p://link[.]miamicoffeebar.com
p://line[.]alicetheguru.com
p://line[].harpbyrequest.com
p://line[.]orangetheorymb.com
p://line[.]rosenstock.net
p://line[.]zepcnc.com
p://atbstroy[.]com
p://stat-football[.]com
p://litum[.]org
p://107gam[.]com
p://10bonusonline24[.]info
Emotet
Anche giovedì 10 ottobre 2019 i ricercatori del
C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware
Emotet, qui di seguito viene riportato un campione dell'email:
Doc-10-102019.doc
MD5: 0e7fee4204e5d20422ac1c536bf2ef57
Dimensione: 349184 Bytes
VirIT:
W97M.Downloader.BTF
tabletpublish.exe
MD5: 4185953c70b767902dcba590657e5bf2
Dimensione: 705030 Bytes
VirIT:
Trojan.Win32.Emotet.BTF
IOC:
0e7fee4204e5d20422ac1c536bf2ef57
4185953c70b767902dcba590657e5bf2
p://yukosalon[.]com/zoom_pagetext/kgd8qq455/
p://movie69hd[.]com/cgi-bin/6riuc16/
p://rankrobotics[.]com/z8y3srjng/8sgaqh484/
s://saigonbowldenver[.]com/wp-includes/xpsxn453696/
p://matrixkw[.]com/framework.fat/s154/
Ursnif
Campagna che distribuisce il
Trojan Banker Ursnif tramite l'invio massimo di email che sembrano far pensare ad una notifica di atto da un presunto avvocato dove è necessario cliccare sul link per scaricarne una copia.
Al momento del click sul link si viene reindirizzati su un sito dove viene visualizzato di salvare un file zippato "
Nuovo documento 12.zip " che al suo interno contiene un file VBS con lo stesso nome del file zippato. Se il file VBS viene eseguito andrà a scaricare il payload del malware Ursnif per infettare il PC e carpire i dati di accesso del malcapitato
Nuovo documento 9.vbs
MD5: ccc472813b40a05b72ca83ac4d63cabe
Dimensione: 3779041 Bytes
VirIT:
Trojan.VBS.Dwnldr.BTF
VideoBoost.exe
MD5: 95610164415ac4e7f9b5ac89be963830
Dimensione: 189528 Bytes
VirIT:
Trojan.Win32.Ursnif.LI
Gruppo ID: 7512
Versione: 300751
Chiave: Htr6bFer4Yc8fbsd |
IOC:
ccc472813b40a05b72ca83ac4d63cabe
95610164415ac4e7f9b5ac89be963830
p://adigitalteam[.]com
p://theramones[.]com
s://suckpussycat[.]com
p://gaimaps[.]com
p://securityinsite[.]com
p://sprintsalesapi[.]com
p://agcemployeebenefitsolutions[.]com
Emotet
Anche in data 11 ottobre 2019 i ricercatori del
C.R.A.M. hanno analizzato un'altra campagna di malspam che distribuiva il malware
Emotet, qui di seguito viene riportato un campione dell'email:
messaggio-2019.doc
MD5: 5690f468d42ee6339a89c711d7da2b70
Dimensione: 119296 Bytes
VirIT:
W97M.Downloader.BSX
tabletpublish.exe
MD5: d03729fa545ad1cff136e574f88cdf1d
Dimensione: 183296 Bytes
VirIT:
Trojan.Win32.Emotet.BSX
IOC:
5690f468d42ee6339a89c711d7da2b70
d03729fa545ad1cff136e574f88cdf1d
p://yukosalon[.]com/zoom_pagetext/kgd8qq455/
p://movie69hd[.]com/cgi-bin/6riuc16/
p://rankrobotics[.]com/z8y3srjng/8sgaqh484/
s://saigonbowldenver[.]com/wp-includes/xpsxn453696/
p://matrixkw[.]com/framework.fat/s154/
Ursnif
Campagna che distribuisce il
Trojan Banker Ursnif tramite l'invio massimo di email che sembrano far pensare ad una notifica di atto da un presunto avvocato dove è necessario cliccare sul link per scaricarne una copia.
Al momento del click sul link si viene reindirizzati su un sito dove viene visualizzato di salvare un file zippato "
Nuovo documento 12.zip " che al suo interno contiene un file VBS con lo stesso nome del file zippato. Se il file VBS viene eseguito andrà a scaricare il payload del malware Ursnif per infettare il PC e carpire i dati di accesso del malcapitato
Nuovo documento 9.vbs
MD5: ccc472813b40a05b72ca83ac4d63cabe
Dimensione: 3779041 Bytes
VirIT:
Trojan.VBS.Dwnldr.BTF
VideoBoost.exe
MD5: 95610164415ac4e7f9b5ac89be963830
Dimensione: 189528 Bytes
VirIT:
Trojan.Win32.Ursnif.LI
IOC:
ccc472813b40a05b72ca83ac4d63cabe
95610164415ac4e7f9b5ac89be963830
p://thekingofsoul[.]com
Consulta le campagne del mese di Settembre/Ottobre
Vi invitiamo a consultare i report del mese di Settembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
30/09/2019 =
Report settimanale delle campagne italiane di malspam dal 30 settembre al 04 ottrobre 2019
23/09/2019 =
Report settimanale delle campagne italiane di malspam dal 23 al 27 settembre 2019
02/09/2019 =
Report settimanale delle campagne italiane di MalSpam dal 31 agosto al 06 settembre 2019
C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft