11/01/2021
09:36

2021W2 Report settimanale= > 11-17/01 2K21 campagne MalSpam target Italia


Malware veicolati attraverso le campagne: Emotet, Ave_Maria, PWStealer&Neshta, LokiBot, SLoad, FormBook, AgentTesla
       
week02

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 11 gennaio 2021 al 17 gennaio 2021: Emotet, Ave_Maria, PWStealer&Neshta, LokiBot, SLoad, FormBook, AgentTesla

INDICE

==> 11 gennaio 2021 => SLoad (1), PWStealer&Neshta (1)

==>
12 gennaio 2021 => Emotet (4), LokiBot (1)

==> 13 gennaio 2021 => Emotet (8), Ave_Maria (1)

==> 14 gennaio 2021 => FormBook (1)

==> 15 gennaio 2021 => AgentTesla (1)
              
==> Consulta le campagne del mese di Dicembre/Gennaio


Nella settimana monitorata vi è stato un aumento delle campagne totali, come per quelle mirate all'utenza italiana. La maggior parte delle campagne ha veicolato il malware Emotet.

Il Trojan Banker Ursnif non ha effettuato campagne rivolte ad utenza italiana, ritroviamo il malware sLoad con una campagna distribuita attraverso le email PEC, rimangono presenti vari Password Stealer come ad esempio
FormBook, Lokibot, AgentTesla ed AveMaria.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguarda le campagne scritte in italiano (con target Italia).
In questa settimana sono state 62 le campagne che abbiamo monitorato, di cui 18 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivisione dei periodi presi in considerazione:

Settimana
dal al
Week_51 19/12 25/12
Week_52 26/12 01/01
Week_01 04/01 10/01
Week_02 11/01 17/01


Nella settimana il picco totale delle campagne si è riscontrato mercoledì 13 gennaio con 17 campagne, medesimo giorno per il picco delle campagne rivolte ad utenza italiana con 9 diverse campagne, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 68% dei malware inviati via mail, seguita con il 8% di sample WIN32.
Il 14% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware soprattutto il Trojan Emotet.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

EMOTET


Durante la settimana monitorata vi è stato anche il ritorno del malware Emotet, le campagne malspam sono state veicolate da martedì 12 a mercoledì 13 gennaio.

Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne 
Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana:


Scarica il file di testo degli IOC delle campagne Emotet.

 

11 gennaio 2021


SLoad

 
 
Allegato_doc_02248720407.vbs
MD50D87BD3EB232699F51C81048BCD84204
Dimensione: 8985 Bytes
VirITTrojan.VBS.sLoad.CRD

it.css
MD5C5C8A33F1A21243043A86EFCF08DF495
Dimensione: 125970 Bytes
VirITTrojan.PS.sLoad.CRD

All'interno dell'archivio compresso "Allegato_doc_02248720407.zip" è presente il file "Allegato_doc_02248720407.vbs" quale una volta lanciato, esegue un collegamento al sito "s://letonguesc[.]com" per scaricare ed eseguire il payload del password stealer SLoad.

IOC:
0D87BD3EB232699F51C81048BCD84204
C5C8A33F1A21243043A86EFCF08DF495
letonguesc[.]com
ryunrth1[.]eu

 

PWStealer infetto da Neshta

 
  
ORDER_Pagamento posticipato_pdf.exe
MD5C05E8D23AEE188EF1594E120BCB8A0A7
Dimensione: 1381888 Bytes
VirITTrojan.Win32.PSWStealer.CRD

All'interno dell'archivio compresso "ORDER_Pagamento posticipato_pdf.gz" è presente il file "ORDER_Pagamento posticipato_pdf.exe" un malware per rubare i dati (Password Stealer).

Il file malevolo è a sua volta infetto dal virus chiamato "Neshta". Il suo scopo è quello di infettare i file eseguibili presenti nella macchina con il suo codice malevolo. 

IOC:
C05E8D23AEE188EF1594E120BCB8A0A7

12 gennaio 2021

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


LokiBot

 
 
Rimessa in sospeso di EUR 11.631,35.exe
MD56FAE6D93B3909AEBB73A95805A159FCA
Dimensione: 735232 Bytes
VirITTrojan.Win32.LokiBot.CRF

All'interno dell'archivio compresso "Rimessa in sospeso di EUR 11.631,35.r13" è presente il file "Rimessa in sospeso di EUR 11.631,35.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
6FAE6D93B3909AEBB73A95805A159FCA
becharnise[.]ir

13 gennaio 2021

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 

Ave_Maria

 
  
8BD5F457794L28B5M8674AC883350960L.exe
MD5C7D50DDFB6C6AD77261D7FCD066E8251
Dimensione: 960512 Bytes
VirITTrojan.Win32.PSWStealer.CRH

All'interno dell'archivio compresso "8BD5F457794L28B5M8674AC883350960L.7z" è presente il file "8BD5F457794L28B5M8674AC883350960L.exe" infetto dal password stealer Ave_Maria.

IOC:
C7D50DDFB6C6AD77261D7FCD066E8251

 

14 gennaio 2021


FormBook

 
  
RFV9099311042.exe
MD5EDDF5707EFB09AAE5B194CB84DB89374
Dimensione: 318464 Bytes
VirITTrojan.Win32.PSWStealer.CRL

All'interno dell'archivio compresso "Sollecito Pagamento.zip" è presente il file "RFV9099311042.exe" infetto dal password stealer FormBook.

IOC:
EDDF5707EFB09AAE5B194CB84DB89374
grayfoxden[.]com
mystery-enigma[.]net
unitvn[.]com
localcryptod[.]com

 


15 gennaio 2021


AgentTesla

 
  
Ordine-074991.pdf.exe
MD5B26D40ADB7B9CCD16EC91746F8DBDE7A
Dimensione: 1027072 Bytes
VirITTrojan.Win32.PSWStealer.CRL

All'interno dell'archivio compresso "Ordine-074991.pdf.cab" è presente il file "Ordine-074991.pdf.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 

La mail con le credenziali rubate viene inviata attraverso il server smtp: mail.pexonteam[.]rs  -> 185.26.119[.]48  Porta: 587 
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@pexonteam[.]rs

IOC:
B26D40ADB7B9CCD16EC91746F8DBDE7A

 

Consulta le campagne del mese di Dicembre/Gennaio

Vi invitiamo a consultare i report del mese di Dicembre/Gennaio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
04/01/2020 = Report settimanale delle campagne italiane di Malspam dal 04 gennaio 2021 al 10 gennaio 2021
26/12/2020 = Report settimanale delle campagne italiane di Malspam dal 26 dicembre 2020 al 03 gennaio 2021
19/12/2020 = Report settimanale delle campagne italiane di MalSpam dal 19 dicembre al 25 dicembre 2020
12/12/2020 = Report settimanale delle campagne italiane di MalSpam dal 12 novembre al 18 dicembre 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: