01/12/2020
14:36

2020W48 Report settimanale= > 28/11/-04/12 2K20 campagne MalSpam target Italia


Malware veicolati attraverso le campagne: Ursnif, AgentTesla, MassLogger, Ave_Maria, LokiBot, Remcos, FormBook, IcedID, Neshta, QRat
       
week48

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 28 novembre al 04 dicembre 2020: UrsnifAgentTesla, MassLogger, Ave_Maria, LokiBot, Remcos, FormBook, IcedID, Neshta, QRat

INDICE

==> 30 novembre 2020 => Ursnif (1), LokiBot (4), Ave_Maria (2)

==> 01 dicembre 2020 => Ursnif (1) , LokiBot (2), AgentTesla (2), MassLogger (1), Ave_Maria (1), Remcos (1), FormBook (1), IcedID (1)

==> 02 dicembre 2020 => LokiBot (2), PWStealer & Neshta (1), AgentTesla (1), Ave_Maria (1), QRat (1)

==> 03 dicembre 2020 => Ursnif (1)

==>
 04 dicembre 2020 => LokiBot (1), AgentTesla (1), Ave_Maria (1)
             
==> Consulta le campagne del mese di Novembre


Nella settimana monitorata vi è stata una diminuzione delle campagne totali, ma si nota un incremento delle campagne mirate all'utenza italiana.
Continua, come le settimane scorse, l'assenza del malware Emotet.
Presente il Trojan Banker Ursnif con 3 campagne distinte nell'arco della settimana a tema "Vodafone", "Enel" ed una generica denominata "Vedi Allegato".
Rimangono presenti vari Password Stealer come ad esempio AgentTesla, Lokibot, Remcos, IcedID, Formbook, AveMaria, MassLogger è presente anche il RAT con funzioni Password Stealer chiamato QRat.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 116 le campagne che abbiamo monitorato, di cui 27 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
dal al
Week_45 07/11 13/11
Week_46 14/11 20/11
Week_47 21/11 27/11
Week_48 28/11 04/12


Nella settimana corrente il picco totale delle campagne si è riscontrato martedì 01 dicembre con 28 campagne, stesso giorno per il picco delle campagne rivolte ad utenza italiana con 10 diverse campagne, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 58,62% dei malware inviati via mail, seguita con il 20,69% di sample Win32.
Il 12,93% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP
 

30 novembre 2020

LokiBot

 
 
[...] Fattura_2272.exe
MD514240C5542C4284D9C03B718FAF3F739
Dimensione: 432640 Bytes
VirITTrojan.Win32.PSWStealer.CPG

All'interno dell'archivio compresso "[...] Fattura_2272.zip" è presente il file "[...] Fattura_2272.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
14240C5542C4284D9C03B718FAF3F739
octvt[.]xyz

Ursnif

 
 
IlUfY.xlsm
MD546E109A17C6911B360657707F182F373
Dimensione: 184446 Bytes
VirITX97M.Ursnif.CPG

[PAYLOAD URSNIF]
MD523246D384883F7E9E2488E9380AE596B
Dimensione: 210944 Bytes
VirITTrojan.Win32.Ursnif.CPG

Versione: 250162
Gruppo: 7242
Key: 10291029JSJUYNHG
 

Aprendo il file excel "IlUfY.xlsm" al suo interno troviamo una macro quale una volta avviata scarica il malware Ursnif dal sito premialestats[.]co e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: settingsline[.]com
 

IOC:
84636AF5268A389514AB88D5D92555D9
23246D384883F7E9E2488E9380AE596B
premialestats[.]co
settingsline[.]com


LokiBot

 
 
stampa_30-2020_11_7567025.exe
MD55BE03B81AAC631EA0DDC194668487884
Dimensione: 458240 Bytes
VirITTrojan.Win32.PSWStealer.CPG

All'interno dell'archivio compresso "stampa_30-2020_11_7567025.zip" è presente il file "stampa_30-2020_11_7567025.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
5BE03B81AAC631EA0DDC194668487884
octvt[.]xyz

LokiBot

 
 
Nota di consegna_TXT507CX.exe
MD514240C5542C4284D9C03B718FAF3F739
Dimensione: 432640 Bytes
VirITTrojan.Win32.PSWStealer.CPG

All'interno dell'archivio compresso "Nota di consegna_TXT507CX.zip" è presente il file "Nota di consegna_TXT507CX.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
14240C5542C4284D9C03B718FAF3F739
octvt[.]xyz

Ave_Maria

 
 
20201130163645.exe
MD532B94FDA2C7E68F89DD07CCCD8A58878
Dimensione: 15336 Bytes
VirITTrojan.Win32.Dwnldr.CPH

[PAYLOAD AVE_MARIA]
MD5C6CEABB53ED659DB73250C54632122B6
Dimensione: 607232 Bytes
VirITTrojan.Win32.Avemaria.CPH

All'interno dell'archivio compresso "Nota di consegna_TXT507CX.zip" è presente il file "Nota di consegna_TXT507CX.exe" il quale una volta eseguito effettua un collegamento al sito "Hastebin" per scaricare le parti di codice in forma offuscata, utilizzate poi per generare il payload di Ave_Maria. 
  • hastebin[.]com/raw/oguziwobar
  • hastebin[.]com/raw/uvotiqasif
  • hastebin[.]com/raw/qogatujoda
  • hastebin[.]com/raw/qodadimubu

IOC:
32B94FDA2C7E68F89DD07CCCD8A58878
C6CEABB53ED659DB73250C54632122B6


LokiBot

 
 
doc_2020113028426481847195247521_xhls.com
MD51A029AF901AC7E1E187A096E5B7A6F08
Dimensione: 531968 Bytes
VirITTrojan.Win32.LokiBot.CPH

All'interno dell'archivio compresso "doc_2020113028426481847195247521_xhls.com" è presente il file "doc_2020113028426481847195247521_xhls.iso" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
1A029AF901AC7E1E187A096E5B7A6F08
oct2[.]xyz

Ave_Maria

 
 
8499700897.exe
MD547CBBFC258E48216719AF78CBE00E7F6
Dimensione: 15816 Bytes
VirITTrojan.Win32.PSWStealer.CPI

[PAYLOAD AVE_MARIA]
MD590D3E7CEE28938B340456DECECFCE765
Dimensione: 422912 Bytes
VirITTrojan.Win32.Avemaria.CPJ


All'interno dell'archivio compresso "8499700897.7z" è presente il file "8499700897.exe" il quale una volta eseguito effettua un collegamento al sito "Hastebin" per scaricare le parti di codice in forma offuscata utilizzate poi per generare il payload di Ave_Maria

  • hastebin[.]com/raw/mimojehaco
  • hastebin[.]com/raw/iboxezoded
  • hastebin[.]com/raw/oxevuciciv
  • hastebin[.]com/raw/batajihebo
  • hastebin[.]com/raw/xafawuzodi
 

IOC:
47CBBFC258E48216719AF78CBE00E7F6
90D3E7CEE28938B340456DECECFCE765


01 dicembre 2020

LokiBot

 
 
DSV_50520109428471834652782492471254_PDF.com
MD51673B346CCFE85756217D298866FC8DD
Dimensione: 813056 Bytes
VirITTrojan.Win32.LokiBot.CPI

All'interno dell'archivio compresso "DSV_50520109428471834652782492471254_PDF.iso" è presente il file "DSV_50520109428471834652782492471254_PDF.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
1673B346CCFE85756217D298866FC8DD
oct2[.]xyz

LokiBot

 
 
[...] Fattura_2278.exe
MD5FDCF4001644C5F80B52802E35A7A0F32
Dimensione: 799744 Bytes
VirITTrojan.Win32.PSWStealer.CPI

All'interno dell'archivio compresso "[...] Fattura_2278.iso" è presente il file "[...] Fattura_2278.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
FDCF4001644C5F80B52802E35A7A0F32
octvt[.]xyz

MassLogger

 
 
DHL EXPRESS - AWB Numero 06785383485- CONSEGNA DI SPEDIZIONE ORIGINALE.exe
MD55323C93F4BB0397162CA5EC725883E2D
Dimensione: 1063936 Bytes
VirITTrojan.Win32.MassLogger.CPI

All'interno dell'archivio compresso "Allegato senza titolo 00297.dat" è presente il file "DHL EXPRESS - AWB Numero 06785383485- CONSEGNA DI SPEDIZIONE ORIGINALE.exe" infetto dal password stealer MassLogger con la versione v3.0.7563.31381.

La mail con le credenziali rubate viene inviata attraverso il server smtp: 
mail.prestamil.c
om[.]mx.
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@prestamil.com[.]mx

IOC:
5323C93F4BB0397162CA5EC725883E2D

Ursnif

 
 
978798231467.xlsm
MD58199C073AC13D164CD9AF0706CCF2C68
Dimensione: 387777 Bytes
VirITX97M.Ursnif.CPI

[PAYLOAD URSNIF]
MD5897285413E9A2BC5207996E43432078F
Dimensione: 124928 Bytes
VirITTrojan.Win32.Ursnif.CPI

Versione: 250166
Gruppo: 4343
Key: 21291029JSJUXMPP
 
Aprendo il file excel "978798231467.xlsm" al suo interno troviamo una macro, la quale una volta avviata scarica il malware Ursnif dal sito certjficazione[.]com e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: chinotta[.]com e dobere[.]com  
 

IOC:
8199C073AC13D164CD9AF0706CCF2C68
897285413E9A2BC5207996E43432078F

certjficazione[.]com
chinotta[.]com
dobere[.]com

FormBook

 
 
use.exe
MD56517B52A84F722D39E8834EB350F3BEB
Dimensione: 541184 Bytes
VirITTrojan.Win32.PSWStealer.CPI

All'interno dell'archivio compresso "PO.658365859.rar" è presente il file "use.exe" infetto dal password stealer FormBook.
 

IOC:
6517B52A84F722D39E8834EB350F3BEB
dgdoughnuts[.]net
registeredagentfirm[.]com
ip-freight[.]com
xaustock[.]com
dl888[.]net

IcedID

 
 
input.12.01.2020.doc
MD5254B345FB15F2DBBAAD9093CC5D42958
Dimensione: 147249 Bytes
VirITW97M.IcedID.CPJ

[PAYLOAD ICEDID]
MD50B3BCD555B25BF4AF0905DE64228560A
Dimensione: 276480 Bytes
VirITTrojan.Win32.IcedID.CPJ
 

IOC:
254B345FB15F2DBBAAD9093CC5D42958
0B3BCD555B25BF4AF0905DE64228560A
t497sword[.]com

AgentTesla

 
 
Ordine N° 2070745 01-12-2020.exe
MD55C34EE079E906F0FF934C8EE51785AE4
Dimensione: 973312 Bytes
VirITTrojan.Win32.PSWStealer.CPI

All'interno dell'archivio compresso "Ordine N° 2070745 01-12-2020.7z" è presente il file "Ordine N° 2070745 01-12-2020.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: sas1-37da021029ee.qloud-c.yandex[.]net  -> 77.88.21[.]158 Porta: 587 
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

IOC:
5C34EE079E906F0FF934C8EE51785AE4

Remcos

 
 
Dell_Ordine_07274_1_12_.scr
MD5509830D9D0BB87D70F670A68784187A2
Dimensione: 783552 Bytes
VirITTrojan.Win32.PSWStealer.CPI

All'interno dell'archivio compresso "Dell_Ordine_07274_1_12_.xz" è presente il file "Dell_Ordine_07274_1_12_.exe" infetto dal password stealer Remcos.
 

IOC:
509830D9D0BB87D70F670A68784187A2
grace2020.home-webserver[.]de -> 103.139.45[.]59 Porta: 8988

AgentTesla

 
 
zXzDq3SgG7QbaeT.exe
MD52D67746F0E1E6EA6236688715DF586C6
Dimensione: 866304 Bytes
VirITTrojan.Win32.PSWStealer.CPJ

All'interno dell'archivio compresso "3Photos_0012301jpg _0012301jpg _0012301jpg _001230.GZ" è presente il file "zXzDq3SgG7QbaeT.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: smtp38.i.mail[.]ru  -> 94.100.180[.]160 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@mail[.]ru

IOC:
2D67746F0E1E6EA6236688715DF586C6

Ave_Maria

 
 
8499700897.exe
MD5AC94B1A349F57090E1BBE7F85C07536E
Dimensione: 114712 Bytes
VirITTrojan.Win32.PSWStealer.CPJ

[PAYLOAD AVE_MARIA]
MD5EB374448B051D727DCE6F7E2AE9F43CF
Dimensione: 277504 Bytes
VirITTrojan.Win32.Avemaria.CPJ


All'interno dell'archivio compresso "8499700897.zip" è presente il file "8499700897.exe" il quale una volta eseguito effettua un collegamento al sito "Hastebin" per scaricare le parti di codice in forma offuscata, utilizzate poi per generare il payload di Ave_Maria

  • hastebin[.]com/raw/ilinuwibox
  • hastebin[.]com/raw/visicemuga
  • hastebin[.]com/raw/jusikiquga


IOC:
AC94B1A349F57090E1BBE7F85C07536E
EB374448B051D727DCE6F7E2AE9F43CF


Torna ad inizio pagina

02 dicembre 2020

LokiBot

 
 
stampa_01-12-2020_INV3042.exe
MD59788FC54A981E26A75BB3FC16D13B6A9
Dimensione: 588592 Bytes
VirITTrojan.Win32.PSWStealer.CPK

All'interno dell'archivio compresso "stampa_01-12-2020_INV3042.zip" è presente il file "stampa_01-12-2020_INV3042.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
9788FC54A981E26A75BB3FC16D13B6A9
octvt[.]xyz

LokiBot

 
 
Nota di consegna_TVX507CX.exe
MD514240C5542C4284D9C03B718FAF3F739
Dimensione: 432640 Bytes
VirITTrojan.Win32.PSWStealer.CPK

All'interno dell'archivio compresso "Nota di consegna_TVX507CX.zip" è presente il file "Nota di consegna_TVX507CX.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
14240C5542C4284D9C03B718FAF3F739
oct2[.]xyz

PWStealer infetto da Neshta

 
 
lista a pagamento 2020.2.1 [56721].exe
MD5644E4B16CA9B33288C760478F85CC257
Dimensione: 1436672 Bytes
VirITTrojan.Win32.PSWStealer.CPK

All'interno dell'archivio compresso "lista a pagamento 2020.2.1 [56721].cab" è presente il file "lista a pagamento 2020.2.1 [56721].exe" un malware per rubare i dati (Password Stealer).

Il file malevolo è a sua volta infetto dal virus chiamato "Neshta". Il suo scopo è quello di infettare i file eseguibili presenti nella macchina con il suo codice malevolo. 

 
IOC:
644E4B16CA9B33288C760478F85CC257

AgentTesla

 
 
Ordine N° 2070745 02-12-2020.exe
MD5BBBFE8A71E889A02B62088CAF5AC586D
Dimensione: 883712 Bytes
VirITTrojan.Win32.PSWStealer.CPK

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: myt2-accb38a5c431.qloud-c.yandex[.]net  -> 77.88.21[.]158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com
 
IOC:
BBBFE8A71E889A02B62088CAF5AC586D

Ave_Maria

 
 
6AC4D440A86P08B5M8674AC006748832I.exe
MD5106C4633E07714AE1BB818FCA6E97524
Dimensione: 1810080 Bytes
VirITTrojan.Win32.Avemaria.CPL

All'interno dell'archivio compresso "6AC4D440A86P08B5M8674AC006748832I.7z" è presente il file "6AC4D440A86P08B5M8674AC006748832I.exe" infetto dal password stealer Ave_Maria.
 
IOC:
106C4633E07714AE1BB818FCA6E97524

QRat

 
 
N.S Ordine 455367.jar
MD54697F14844258E2CE3050AE27F2ED653
Dimensione: 51541 Bytes
VirITTrojan.Java.Adwind.CPL

All'interno dell'archivio compresso "N.S Ordine 455367.zip" è presente il file "N.S Ordine 455367.jar" infetto infetto dal Remote Access Trojan(RAT) - QRat





 
 
 
IOC:
4697F14844258E2CE3050AE27F2ED653
marshost.publicvm[.]com
95.217.228[.]176
96.9.226[.]16
 
 
 

03 dicembre 2020

Ursnif

 
 
ordine,12.20.doc
MD5D306F869D778ACAF092A72BAFA9517AD
Dimensione: 94209 Bytes
VirITW97M.Ursnif.CPM

[PAYLOAD URSNIF]
MD5F36B6B88A216B306FE29DFB14B3BE62B
Dimensione: 483328 Bytes
VirITTrojan.Win32.Ursnif.CPM

Versione: 250162
Gruppo: 7243
Key: 10291029JSJUYNHG
 

Aprendo il file word "ordine,12.20.doc" al suo interno troviamo una macro, la quale una volta avviata scarica il malware Ursnif dal sito hrw393pilot[.]com e provvede ad eseguire il payload.

Il malware Ursnif si collega al Server di Comando & Controllo: ystatistics[.]com

Viene inoltre scaricato come follow-up il Malware noto come CutWail:

[PAYLOAD CUTWAIL]
MD5: 0293AA6AC5145FE595571629E13051B8
Dimensione: 159136 Bytes
VirIT: Trojan.Win32.PSWStealer.CPI

Di questa campagna sono stati monitorati 153 hash di file .doc univoci che scaricano il Payload dell'Ursnif da questi ulteriori domini:
  • rou488reopen[.]com
  • d515country[.]com
  • knt807fault[.]com
  • tna873miracle[.]com
  • nfj254aim[.]com
  • wo784prosper[.]com
  • vi363suffer[.]com
  • q654trap[.]com
  • wcfv355security[.]com
  • pfbtq569flash[.]com

 
IOC:
D306F869D778ACAF092A72BAFA9517AD
F36B6B88A216B306FE29DFB14B3BE62B
hrw393pilot[.]com
ystatistics[.]com -> 92.242.40.11
rou488reopen[.]com
d515country[.]com
knt807fault[.]com
tna873miracle[.]com
nfj254aim[.]com
wo784prosper[.]com
vi363suffer[.]com
q654trap[.]com
wcfv355security[.]com
pfbtq569flash[.]com
 

04 dicembre 2020

AgentTesla

 
 
DSV_20201204208927481624651414951_PDF.exe
MD58AF691BBC64064A2C822AD4BB995D5F4
Dimensione: 692736 Bytes
VirITTrojan.Win32.AgentTesla.CPP

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

Le credenziali e i dati rubati vengono inviate attraverso un bot Telegram ad una chat privata di Telegram.

Di seguito i dati di configurazione del bot Telegram:
BOT ID: 1<REDACTED>5
USERNAME: b
<REDACTED>_bot
CHAT_ID: 1
<REDACTED>0
 
IOC:
8AF691BBC64064A2C822AD4BB995D5F4

LokiBot

 
 
Fatt_N_3781_C_del_26_11_2020.exe
MD576A64E8316C0B8072EF17FA201490BB6
Dimensione: 343030 Bytes
VirITTrojan.Win32.PSWStealer.CPO

All'interno dell'archivio compresso "Fatt_N_3781_C_del_26_11_2020.zip" è presente il file "Fatt_N_3781_C_del_26_11_2020.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
76A64E8316C0B8072EF17FA201490BB6
x26zc[.]xyz

Ave_Maria

 
 
Descrizione dell'ordine dei prodotti Mappy2020 doc.exe
MD53ABE78E03BBE77C0FF99A5DB14596B10
Dimensione: 56320 Bytes
VirITTrojan.Win32.Dwnldr.CPP

[PAYLOAD AVE_MARIA]
MD590A36E97F56EB0AC1ABD871707073F0F
Dimensione: 228352 Bytes
VirITTrojan.Win32.Avemaria.CPP


All'interno dell'archivio compresso "Descrizione dell'ordine dei prodotti Mappy2020 doc.arj" è presente il file "Descrizione dell'ordine dei prodotti Mappy2020 doc.exe" il quale una volta eseguito effettua un collegamento al sito "Hastebin" per scaricare le parti di codice in forma offuscata utilizzate poi per generare il payload di Ave_Maria

  • hastebin[.]com/raw/dakavujaku
  • hastebin[.]com/raw/opidajewib
  • hastebin[.]com/raw/wisasigoze
 

IOC:
3ABE78E03BBE77C0FF99A5DB14596B10
90A36E97F56EB0AC1ABD871707073F0F
 

Consulta le campagne del mese di Novembre

Vi invitiamo a consultare i report del mese di Novembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
21/11/2020 = Report settimanale delle campagne italiane di Malspam dal 21 novembre al 27 novembre 2020
14/11/2020 = Report settimanale delle campagne italiane di Malspam dal 14 novembre al 20 novembre 2020
07/11/2020 = Report settimanale delle campagne italiane di MalSpam dal 07 novembre al 13 novembre 2020
31/10/2020 = Report settimanale delle campagne italiane di MalSpam dal 31 ottobre al 06 novembre 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: