02/12/2019
11:17

2019W48 Report settimanale => 30/11 - 06/12 2K19 campagne MalSpam target Italia 

Malware veicolati attraverso le campagne: Ursnif, Emotet, HawkEye, LokiBot e PWStealer generici.
       
week42

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 30 novembre 2019 al 06 dicembre 2019: Ursnif, Emotet, HawkEye, PWStealer, LokiBot

INDICE

 ==> 02 dicembre 2019 => Emotet - HawkEye - PWStealer
 
 ==> 03 dicembre 2019 => Emotet - HawkEye

 ==> 04 dicembre 2019 => Emotet - LokiBot 

 ==> 05 dicembre 2019 => Emotet - Ursnif

 ==> 06 dicembre 2019 => Emotet

==> Consulta le campagne del mese di Novembre/Dicembre
 


02 dicembre 2019

Emotet

 
 
 

43.doc
MD5470aea192ee46666a9c7e17f024d9f75
 Dimensione: 211616 Bytes
VirITW97M.Downloader.BWA 
printsxcl.exe
MD5: 0a60152c9fb0efa3bc52c0822026c506
Dimensione: 409775 Bytes
VirITTrojan.Win32.Emotet.BWA

IOC:
470aea192ee46666a9c7e17f024d9f75
3eddc2760b59562058025f42bc60fc32

p://extrautilidades[.]com/wp-includes/css/ewi3101/
s://www.cirugiaurologica[.]com/wp-content/languages/vyw15453/
p://purviitech[.]com/111/8z3755/
s://vaytaichinhonline[.]com/cgi-bin/iazngc0/
p://majorlandproperty[.]com/cgi-bin/f29/

 



Torna ad inizio pagina

HawkEye




Swift_111000335778929_2_12_19.exe
MD5d3af8af05738661dad9d43287d347d01
Dimensione: 2087936 Bytes
VirITTrojan.Win32.Genus.BWA

IOC:
d3af8af05738661dad9d43287d347d01
p://pomf[.]cat/upload.php
s://a.pomf[.]cat


Torna ad inizio pagina

PWStealer




pagamento 02.12.2019.exe
MD5: c3328ea860b780697bf2a4f3afc77b15
Dimensione: 534016 Bytes
VirIT: Trojan.Win32.PSWStealer.BWE

IOC:
c3328ea860b780697bf2a4f3afc77b15

www.milux-my[.]com

209.127.19[.]34


Torna ad inizio pagina

 

03 dicembre 2019

Emotet


 

Scan_20190312_629.doc
MD5: cf05c1c8deef8ef82c86ba603469b5a2
Dimensione: 211596 Bytes
VirIT: W97M.Downloader.BWC

printsxcl.exe
MD5: 6277c0b3b8bdaaed72c0d8d671133239
Dimensione: 462871 Bytes
VirITTrojan.Win32.Emotet.BWF


IOC:
cf05c1c8deef8ef82c86ba603469b5a2
6277c0b3b8bdaaed72c0d8d671133239

s://waraly[.]com/wp-content/biz-sgufm-217/
s://accdb.opengate[.]it/wp-admin/OJQlDpJVl/
s://www.saveearth[.]org[.]in/wp-content/LjKCfS/
p://exhicon[.]ir/wp-includes/fbqqlm51g9-g3pr3-045668347/
p://www.shopbkk[.]online/wp-content/uploads/8yxgz4jghz-ocaksv-910322/
 
 

Torna ad inizio pagina

HawkEye



44000345638_00703122019.exe
MD5: 36df0afea7257b2275ed59ad8abd3930
Dimensione: 2046976 Bytes
VirIT: Trojan.Win32.Genus.BWC

IOC:
36df0afea7257b2275ed59ad8abd3930
p://pomf[.]cat/upload.php


Torna ad inizio pagina

 

04 dicembre 2019

Emotet




doc-04.doc
MD5: 49bb9fa8a77aa4c5a66232748f96b2c0
Dimensione: 185055 Bytes
VirIT: W97M.Downloader.BWE

printsxcl.exe
MD5: e3648731a36105980f5fae6b4afe614b
Dimensione: 369664 Bytes
VirITTrojan.Win32.Genus.BVU


IOC:
49bb9fa8a77aa4c5a66232748f96b2c0
e3648731a36105980f5fae6b4afe614b

p://ahsappanjur[.]com/wp-admin/c7/
s://lyciawood[.]com/wp-admin/r8263/
p://101.edufav[.]com/wp-admin/byoch5824/
s://panjurkapak[.]com/wp-admin/ik513/
p://vyhoang.airaworldtourism[.]com/wp-admin/2w83/

  

LokiBot




Ordine 191409.exe
MD5f6cfc0605471023038b7f81bd1d02e2b
Dimensione: 1150976 Bytes
VirITTrojan.Win32.Genus.BVU
 
IOC:
f6cfc0605471023038b7f81bd1d02e2b
mobitechgroup[.]com


05 dicembre 2019

Emotet



AN0704077678948038089.doc
MD5: cbb01d6c6a2edae9c69db893bad5ce58
Dimensione: 202030 Bytes
VirIT: W97M.Downloader.BWG

printsxcl.exe
MD5: 7d11e9755e8009d81cb5286f49c025eb
Dimensione: 370036 Bytes
VirITTrojan.Win32.Emotet.BVX


IOC:
cbb01d6c6a2edae9c69db893bad5ce58
7d11e9755e8009d81cb5286f49c025eb

p://offisepost[.]info/img/Q/
p://purviitech[.]com/111/c39b5jp/
s://www.awchang[.]com/wp-content/uploads/2019/02/uk8h/
s://www.landzoom[.]com/wp-admin/0Z/
s://www.municipales.lejournaltoulousain[.]fr/wp-content/yar/
Torna ad inizio pagina

Ursnif



Nuovo documento 3.vbs
MD5: a686db5f914611ba438b19e738768441
Dimensione: 3852184 Bytes
VirIT: Trojan.VBS.Dwnldr.BWG

ColorPick.exe
MD5: c76744ae36d17b12545dfb5858508957
Dimensione: 140320 Bytes
VirITTrojan.Win32.Ursnif.BWG

IOC:
a686db5f914611ba438b19e738768441
c76744ae36d17b12545dfb5858508957

Versione: 300814
Gruppo: 20198141
Key: QlIxLf4qdHBnI8sU


wanderunderwater[.]com
212.42.121[.]53


 
Torna ad inizio pagina
 
 



06 dicembre 2019

Emotet



CERTIFICATO_MEDICO-06122019_63191.doc
MD5: 3b202716945ab670a09eb3de2f2e84bf
Dimensione: 91477 Bytes
VirIT: W97M.Downloader.BWI

printsxcl.exe
MD5: 941023b5ccd2b7503a7bb2daf7139f2b
Dimensione: 369780 Bytes
VirITTrojan.Win32.Emotet.BWI



IOC:
3b202716945ab670a09eb3de2f2e84bf
941023b5ccd2b7503a7bb2daf7139f2b

p://itcslimited[.]com/wp-admin/k3743/
s://www.avmaxvip[.]com/listselect/9as814/
p://www.arinlays[.]com/wp-content/7ulfgl503173/
s://qiuqiu[.]biz/p0kxcl/2yns74/
p://cr-easy[.]com/aulz/k6x7p839/
 
Torna ad inizio pagina
 


Consulta le campagne del mese di Novembre/Dicembre

Vi invitiamo a consultare i report del mese di Novembre/Dicembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

02/12/2019 = Report settimanale delle campagne italiane di Malspam dal 02 dicembre al 08 dicembre 2019
23/11/2019 = Report settimanale delle campagne italiane di Malspam dal 23 novembre al 29 novembre 2019
16/11/2019 = Report settimanale delle campagne italiane di MalSpam dal 16 novembre al 22 novembre 2019
C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: