18/01/2021
17:29

2021W3 Report settimanale= > 18-24/01 2K21 campagne MalSpam target Italia


Malware veicolati attraverso le campagne: Emotet, Ursnif, Ave_Maria, FormBook, LokiBot, AgentTesla
       
week03

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 18 gennaio 2021 al 24 gennaio 2021: Emotet, Ursnif, Ave_Maria, FormBook, LokiBot, AgentTesla

INDICE

==> 18 gennaio 2021 => LokiBot (1), AgentTesla (1)

==>
19 gennaio 2021 => Ursnif (2), Ave_Maria (1), FormBook (1)

==> 20 gennaio 2021 => Emotet (15), LokiBot (1)

==> 21 gennaio 2021 => Ursnif (2), AgentTesla (2), LokiBot (1)

==> 22 gennaio 2021 => Emotet (9), Ursnif (1)
              
==> Consulta le campagne del mese di Dicembre/Gennaio


Nella settimana monitorata vi è stato un aumento delle campagne totali, come per quelle mirate all'utenza italiana. La maggior parte delle campagne ha veicolato il malware Emotet.

Il Trojan Banker Ursnif è ritornato a colpire le utente italiane con 5 diverse campagne con vari template, rimangono presenti vari Password Stealer come ad esempio
FormBook, Lokibot, AgentTesla ed AveMaria.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguarda le campagne scritte in italiano (con target Italia).
In questa settimana sono state 145 le campagne che abbiamo monitorato, di cui 37 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivisione dei periodi presi in considerazione:

Settimana
dal al
Week_52 26/12 01/01
Week_01 04/01 10/01
Week_02 11/01 17/01
Week_03 18/01 24/01


Nella settimana il picco totale delle campagne si è riscontrato mercoledì 20 gennaio con 39 campagne, medesimo giorno per il picco delle campagne rivolte ad utenza italiana con 16 diverse campagne, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 51.72% dei malware inviati via mail, seguita con il 8.97% di sample WIN32.
Il 26.90% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware soprattutto il Trojan Emotet.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

EMOTET


Durante la settimana monitorata vi è stato anche il ritorno del malware Emotet, le campagne malspam sono state veicolate da mercoledì 20 a venerdì 22 gennaio.

Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne 
Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana:


Scarica il file di testo degli IOC delle campagne Emotet.

 

18 gennaio 2021

LokiBot

 
 
Avviso di pagamento-Euro Bank EFG.exe
MD56DF77EA67A80146F5E9591A7F79B6871
Dimensione: 999936 Bytes
VirITTrojan.Win32.PSWStealer.CRO

All'interno dell'archivio compresso "Avviso di pagamento-Euro Bank EFG.r13" è presente il file "Avviso di pagamento-Euro Bank EFG.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
6DF77EA67A80146F5E9591A7F79B6871
becharnise[.]ir
 

AgentTesla

 
  
Nakit Akisi Detaylariniz.exe
MD54E507E11995DABA03D599C6EF1501E2D
Dimensione: 938496 Bytes
VirITTrojan.Win32.PSWStealer.CRN

All'interno dell'archivio compresso "ORDINE URGENTE.zip" è presente il file "Nakit Akisi Detaylariniz.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 

La mail con le credenziali rubate viene inviata attraverso il server smtp: vxsys-smtpclusterma-05.srv[.]cat  -> 46.16.61[.]250  Porta: 587 
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@fil-net[.]com


IOC:
4E507E11995DABA03D599C6EF1501E2D

19 gennaio 2021

Ursnif

 
 
Aprendo il file excel "560897.xlsm" possiamo vedere che si tratta di una finta comunicazione del corriere BRT, una volta avviata la macro scarica il malware Ursnif dal sito inps-servizi[.]com e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: kopppooole[.]xyz

560897.xlsm
MD5BFBEF75D3BAD76C3AA3AA3DDCC4B2E37
Dimensione: 34981 Bytes
VirITX97M.Ursnif.CRP

[PAYLOAD URSNIF]
MD5C61375C725992BEA1066D2B49991D6E8
Dimensione: 121200 Bytes
VirITTrojan.Win32.Ursnif.CRP

Versione: 251173
Gruppo: 4355
Key: 21291029JSJUXMPP

IOC:
BFBEF75D3BAD76C3AA3AA3DDCC4B2E37
C61375C725992BEA1066D2B49991D6E8
inps-servizi[.]com
kopppooole[.]xyz 


Ave_Maria

 
 
Document-1953.exe
MD52CB1E8B8664B60243AE9D779D722F15B
Dimensione: 887296 Bytes
VirITTrojan.Win32.PSWStealer.CRP

All'interno dell'archivio compresso "Document-1953.7z" è presente il file "Document-1953.exe" infetto dal password stealer Ave_Maria.
 
IOC:
2CB1E8B8664B60243AE9D779D722F15B

FormBook

 
 
Invoice Payment Details.exe
MD59570C6D8CEF329A8984DC89ECC786C28
Dimensione: 913408 Bytes
VirITTrojan.Win32.PSWStealer.CRP

All'interno dell'archivio compresso "Calendario dei pagamenti.iso" è presente il file "Invoice Payment Details.exe" infetto dal password stealer FormBook.
 
IOC:
9570C6D8CEF329A8984DC89ECC786C28
smallcoloradoweddings[.]com
porntvh[.]com
ghar[.]pro
yogabizhelp[.]com
56ohdc2016[.]com
helmihendrahasilbumi[.]com
jtkqmz[.]com
nutbullet[.]com
wolfetailors[.]com
thaibizgermany[.]com

Ursnif

 
Aprendo il file excel "003555684856_2.xlsm" possiamo vedere che si tratta di una finta fattura di Enel Energia, una volta avviata la macro scarica il malware Ursnif dal sito dettrazieni[.]com e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: lopppooole[.]xyz

003555684856_2.xlsm
MD5D0EC4536B6EC9365D5BE6FA52E348E98
Dimensione: 38109 Bytes
VirITX97M.Ursnif.CRQ

[PAYLOAD URSNIF]
MD534BF266CC9DB6AEAD8EEC1156C3F35E3
Dimensione: 411136 Bytes
VirITTrojan.Win32.Ursnif.CRP

Versione: 251173
Gruppo: 4355
Key: 21291029JSJUXMPP

IOC:
D0EC4536B6EC9365D5BE6FA52E348E98
34BF266CC9DB6AEAD8EEC1156C3F35E3
dettrazieni[.]com
lopppooole[.]xyz  
 

20 gennaio 2021

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


LokiBot

 
 
Stampa_REFVS05437_7567SS.exe
MD504000A88F3AA17AC08015F36A77E0ECC
Dimensione: 408576 Bytes
VirITTrojan.Win32.LokiBot.CRS

All'interno dell'archivio compresso "Stampa_REFVS05437_7567SS - 1.zip" è presente il file "Stampa_REFVS05437_7567SS.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
04000A88F3AA17AC08015F36A77E0ECC
oct1[.]xyz

 

21 gennaio 2021


Ursnif

 
  
Aprendo il file word "nota_5538962.doc" presente all'interno dell'archivio compresso "nota_5538962.zip" possiamo vedere che si tratta di una finta comunicazione, una volta avviata la macro scarica il malware Ursnif dal sito linestats[.]casa e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: gstatistica[.]com  

nota_5538962.doc
MD5863439B4802937E1FE0CB490EA927A2E
Dimensione: 101821 Bytes
VirITW97M.Ursnif.CRT

[PAYLOAD URSNIF]
MD5112A4256348D6D77A192B2F13EB0E8E5
Dimensione: 430080 Bytes
VirITTrojan.Win32.Ursnif.CRT

Versione: 250171
Gruppo: 7247
Key: 10291029JSJUYNHG

IOC:
863439B4802937E1FE0CB490EA927A2E
112A4256348D6D77A192B2F13EB0E8E5
linestats[.]casa
gstatistica[.]com

AgentTesla

 
 
Copia dell'ordine di pagamento.exe
MD56322E64FC9245840623B2AD8B2CF115D
Dimensione: 836608 Bytes
VirITTrojan.Win32.AgentTesla.CRT

All'interno della mail è presente un immagine con un collegamento al cloud drive di OneDrive, premendo sull'immagine presente nel campo della mail, viene effetuato un collegamento al sito "onedrive.live[.]com/download?cid=F6E9634D[...]" e scaricato il file compresso "Copia dell'ordine di pagamento.tgz". Al suo interno è presente il file "Copia dell'ordine di pagamento.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 

La mail con le credenziali rubate viene inviata attraverso il server smtp: kundenserver[.]de  -> 212.227.15[.]142  Porta: 587 
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@cristaleriagandia[.]com


IOC:
6322E64FC9245840623B2AD8B2CF115D

Ursnif

 
 
Aprendo il file word "bonif_1361270.doc" presente all'interno dell'archivio compresso "bonif_1361270.zip" possiamo vedere che si tratta di una finta comunicazione, una volta avviata la macro scarica il malware Ursnif dal sito linestats[.]bar e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: gstatistica[.]com

bonif_1361270.doc
MD5B39E7E7FE1BD7F7139B27EADB6CF54EC
Dimensione: 209728 Bytes
VirITW97M.Ursnif.CRT

[PAYLOAD URSNIF]
MD5EECFC005C040236B5818D7E8F775FFED
Dimensione: 145264 Bytes
VirITTrojan.Win32.Ursnif.CRT

Versione: 250171
Gruppo: 7247
Key: 10291029JSJUYNHG

IOC:
B39E7E7FE1BD7F7139B27EADB6CF54EC
EECFC005C040236B5818D7E8F775FFED
linestats[.]bar
gstatistica[.]com

AgentTesla

 
 
ORDINE #96543-pdf.JS
MD5CFA731241965FD4B24E01C24DED86B81
Dimensione: 5053 Bytes
VirITTrojan.JS.Dwnldr.CRT

All'interno dell'archivio compresso "ORDINE #96543-pdf.7z" è presente il file "ORDINE #96543-pdf.js" quale una volta lanciato, esegue un collegamento al sito "radio-hit[.]ro" per scaricare uno script che alla sua volta scarica il payload del password stealer AgentTesla e lo esegue in memoria attraverso un injection in un processo legittimo.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 

La mail con le credenziali rubate viene inviata attraverso il server FTP: Pure-FTPd  -> 192.254.234[.]35 Porta: 21
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@transdealer[.]cl
 
 
IOC:
CFA731241965FD4B24E01C24DED86B81
radio-hit[.]ro

LokiBot

 
 
F-ORDINE_21 012021_0000015.exe
MD57BB0BFEE3A682F6EA0E49043C1AE4E93
Dimensione: 613888 Bytes
VirITTrojan.Win32.PSWStealer.CRT

All'interno dell'archivio compresso "F-ORDINE_21 012021_0000015.zip" è presente il file "F-ORDINE_21 012021_0000015.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
7BB0BFEE3A682F6EA0E49043C1AE4E93
spmdc[.]xyz

 


22 gennaio 2021


Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


Ursnif

 
  
Aprendo il file word "nota_5486581.doc" presente all'interno dell'archivio compresso "nota_5486581.zip" possiamo vedere che si tratta di una finta fattura da pagare, una volta avviata la macro scarica il malware Ursnif dal sito linelectriciti[.]casa e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: gstatuslog[.]com

nota_5486581.doc
MD5EC4EB7DFDC82EC5A71ED262759DED908
Dimensione: 83932 Bytes
VirITW97M.Ursnif.CRV

[PAYLOAD URSNIF]
MD525507F89ABD96F37D80E0596CD834E26
Dimensione: 245104 Bytes
VirITTrojan.Win32.Ursnif.CRV

Versione: 250171
Gruppo: 7248
Key: 10291029JSJUYNHG

IOC:
EC4EB7DFDC82EC5A71ED262759DED908
25507F89ABD96F37D80E0596CD834E26
linelectriciti[.]casa
gstatuslog[.]com  

 

Consulta le campagne del mese di Dicembre/Gennaio

Vi invitiamo a consultare i report del mese di Dicembre/Gennaio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
11/01/2021 = Report settimanale delle campagne italiane di Malspam dal 11 gennaio 2021 al 17 gennaio 2021
04/01/2021 = Report settimanale delle campagne italiane di Malspam dal 04 gennaio 2021 al 10 gennaio 2021
26/12/2020 = Report settimanale delle campagne italiane di MalSpam dal 26 dicembre 2020 al 03 gennaio 2021
19/12/2020 = Report settimanale delle campagne italiane di MalSpam dal 19 dicembre al 25 dicembre 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: