25/01/2021
14:44

2021W4 Report settimanale= > 25-31/01 2K21 campagne MalSpam target Italia


Malware veicolati attraverso le campagne: Emotet, Ursnif, Ave_Maria, FormBook, LokiBot, AgentTesla, SnakeKeylogger, Remcos, Downloader
       
week04

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 25 gennaio 2021 al 31 gennaio 2021: Emotet, Ursnif, Ave_Maria, FormBook, LokiBot, AgentTesla, SnakeKeylogger, Remcos, Downloader

INDICE

==> 25 gennaio 2021 => Emotet (3), Remcos (1)

==>
26 gennaio 2021 => Remcos (1), FormBook (1), Ave_Maria (1)

==> 27 gennaio 2021 => SnakeKeylogger (1), Downloader (1), FormBook (1)

==> 28 gennaio 2021 => LokiBot (1), Ursnif (1), AgentTesla (1), Ave_Maria (1)

==> 29 gennaio 2021 => AgentTesla (1), LokiBot (2)
              
==> Consulta le campagne del mese di Dicembre/Gennaio


Nella settimana monitorata vi è stato un leggero calo delle campagne totali, come per quelle mirate all'utenza italiana.

Il Trojan Banker Ursnif ha colpito con una sola campagna l'utenza italiana, rimangono presenti vari Password Stealer come ad esempio
Remcos, FormBook, AveMaria, SnakeKeyLogger, AgentTesla e Lokibot .

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguarda le campagne scritte in italiano (con target Italia).
In questa settimana sono state 137 le campagne che abbiamo monitorato, di cui 16 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivisione dei periodi presi in considerazione:

Settimana
dal al
Week_01 04/01 10/01
Week_02 11/01 17/01
Week_03 18/01 24/01
Week_04 25/01 31/01


Nella settimana il picco totale delle campagne si è riscontrato lunedì 25 gennaio con 33 campagne, medesimo giorno per il picco delle campagne rivolte ad utenza italiana con 4 diverse campagne, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 63.50% dei malware inviati via mail, seguita con il 10.22% di sample WIN32.
Il 10.95% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware come il Trojan Emotet.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP

EMOTET


Il malware Emotet ha veicolato malspam solo nella giornata di lunedì 25 gennaio, questo perchè un'operazione internazionale di polizia tra lunedì 25 e mercoledì 27 ha smantellato la botnet del malware Emotet, come è possibile vedere dal comunicato stampa di Europol.

Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne 
Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana:


Scarica il file di testo degli IOC delle campagne Emotet.

 

25 gennaio 2021

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


Remcos

 
 
Ordine-030-01-25.com
MD51C89C772690479F351072FB2E08F10E3
Dimensione: 849920 Bytes
VirITTrojan.Win32.PSWStealer.CRX

All'interno dell'archivio compresso "Ordine-030-01-25.rar" è presente il file "Ordine-030-01-25.exe" infetto dal password stealer Remcos.
 
IOC:
1C89C772690479F351072FB2E08F10E3
grace2020.home-webserver[.]de -> 103.153.77[.]3 
 

26 gennaio 2021

Remcos

 
 
Ordine-045-01-26.pif.vir
MD5730ECB6080A693F0B5D06332A2180F39
Dimensione: 640752 Bytes
VirITTrojan.Win32.Inject4.JZM

All'interno dell'archivio compresso "Ordine-045-01-26.rar" è presente il file "Ordine-045-01-26.pif" infetto dal password stealer Remcos.
 
IOC:
730ECB6080A693F0B5D06332A2180F39
grace2020.home-webserver[.]de -> 103.153.77[.]3 


FormBook

 
 
GRACE.exe
MD59034ACBB2742281523525D715A4EE566
Dimensione: 3215360 Bytes
VirITTrojan.Win32.Formbook.CRZ

All'interno dell'archivio compresso "COVID-19 RISULTATO.rar" è presente il file "Grace.exe" infetto dal password stealer FormBook.
 
IOC:
9034ACBB2742281523525D715A4EE566
the343radio[.]com
strahlenschutz[.]digital
registeredagentfirm[.]com
miamiwaterworld[.]com
hareland[.]info
kenniscourtureconsignments[.]com
tiendazoom[.]com
vivethk[.]com
the343radio[.]com
strahlenschutz[.]digital
registeredagentfirm[.]com
miamiwaterworld[.]com
hareland[.]info

Ave_Maria

 
 
Bonifico - 2021-01-26T170084.exe
MD5DA2F46D43E320D3559489898EC04B4A7
Dimensione: 715264 Bytes
VirITTrojan.Win32.PSWStealer.CSA

All'interno dell'archivio compresso "Bonifico - 2021-01-25T150054.018.7z" è presente il file "Bonifico - 2021-01-25T150054.018.exe" infetto dal password stealer Ave_Maria.
 
IOC:
DA2F46D43E320D3559489898EC04B4A7
 

27 gennaio 2021

SnakeKeylogger

 
 
IMG-47901.scr
MD5400C7A6AE4560AA731D66848C75C621B
Dimensione: 1322984 Bytes
VirITTrojan.Win32.Injector.CSB

All'interno dell'archivio compresso "fattura a saldoa.2302.xz" è presente il file "IMG-47901.scr" infetto dal keylogger SnakeKeylogger.
 
IOC:
400C7A6AE4560AA731D66848C75C621B

Downloader

 
 
fattura proforma.exe
MD5643E00397C4623CCAA46A2F5D8ED6B14
Dimensione: 192512 Bytes
VirITTrojan.Win32.PSWStealer.CSB

Il file eseguibile che si trova all'interno dell'archivio
fattura proforma.gz, effettua il collegamento al sito "yorgeatransport[.]com" per scaricare il payload finale del malware. Il download non va a buon fine a causa dell'assenza del file nel sito. 
 
IOC:
643E00397C4623CCAA46A2F5D8ED6B14
yorgeatransport[.]com


FormBook

 
 
RCV70912341.exe
MD50B3B6A1EA304CE80B643A89D3E49874B
Dimensione: 692608 Bytes
VirITTrojan.Win32.PSWStealer.CSC

All'interno dell'archivio compresso "FA3748.zip" è presente il file "RCV70912341.exe" infetto dal password stealer FormBook.
 
IOC:
0B3B6A1EA304CE80B643A89D3E49874B
posdonanim[.]com
xaxzwz[.]com
mickey2nd[.]com
mystery-enigma[.]net
localcryptod[.]com
remoteworkoffer[.]com
kingdommarketinguniversity[.]com
7852bigbucktrail[.]info
www.broderies-admc[.]com
celinemnique[.]com
unitvn[.]com

 

28 gennaio 2021


LokiBot

 
  
F-ORDINE_27012021_0000015.exe
MD5C792CEBC2C86CCAE67E0A66BE776A287
Dimensione: 798583 Bytes
VirITTrojan.Win32.PSWStealer.CSD

All'interno dell'archivio compresso "F-ORDINE_27012021_0000015.zip" è presente il file "F-ORDINE_27012021_0000015.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
C792CEBC2C86CCAE67E0A66BE776A287
oct1[.]xyz

Ursnif

 
 
Aprendo il file word "interessat_7475130.doc" presente all'interno dell'archivio compresso "interessat_7475130.zip" possiamo vedere che si tratta di una finta comunicazione, una volta avviata la macro scarica il malware Ursnif dal sito interessati[.]net e provvede ad eseguire il payload.
Il malware Ursnif si collega al Server di Comando & Controllo: tomproc[.]com

interessat_7475130.doc
MD5C1072F98ABCAEAE1C100D93CE73D0C95
Dimensione: 142414 Bytes
VirITW97M.Ursnif.CSD

[PAYLOAD URSNIF]
MD5729A38A959EBC1C38C4E522CE69A5CBA
Dimensione: 449024 Bytes
VirITTrojan.Win32.Ursnif.CSD

Versione: 250171
Gruppo: 7249
Key: 10291029JSJUYNHG

IOC:
C1072F98ABCAEAE1C100D93CE73D0C95
729A38A959EBC1C38C4E522CE69A5CBA
interessati[.]net
tomproc[.]com

AgentTesla

 
 
RFQ-nr4853210-pdf.JS
MD5A0825B8055233DAB0C5E5D72D1A10335
Dimensione: 6566 Bytes
VirITTrojan.JS.Dwnldr.CSD

All'interno dell'archivio compresso "RFQ-nr4853210-pdf.7z" è presente il file "RFQ-nr4853210-pdf.js" quale una volta lanciato, esegue un collegamento al sito "radio-hit[.]ro" per scaricare uno script che alla sua volta scarica il payload del password stealer AgentTesla e lo esegue in memoria attraverso un injection in un processo legittimo.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 

La mail con le credenziali rubate viene inviata attraverso il server FTP: Pure-FTPd  -> 192.254.234[.]35 Porta: 21
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@transdealer[.]cl
 
 
IOC:
A0825B8055233DAB0C5E5D72D1A10335
radio-hit[.]ro

Ave_Maria

 
 
Bonifico - 2021-01-27T688096.exe
MD5CD94606C3149409DBAD59B665DBE4532
Dimensione: 1386496 Bytes
VirITTrojan.Win32.Avemaria.CSD

All'interno dell'archivio compresso "Bonifico - 2021-01-27T688096.7z" è presente il file "Bonifico - 2021-01-27T688096.exe" infetto dal password stealer LokiBot.
 
IOC:
CD94606C3149409DBAD59B665DBE4532

 


29 gennaio 2021

AgentTesla

 
 
Copia ricevuta di ritorno 29.01.2021.exe
MD5C2126BF969B1887483000EB98F1EE92E
Dimensione: 837632 Bytes
VirITTrojan.Win32.PSWStealer.CSF

All'interno dell'archivio compresso "Copia ricevuta di ritorno 29.01.2021.7z" è presente il file "Copia ricevuta di ritorno 29.01.2021.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 

La mail con le credenziali rubate viene inviata attraverso il server smtp: server.fbrandao[.]com  -> 138.128.171[.]170 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@mlibano.com[.]br
 
 
IOC:
C2126BF969B1887483000EB98F1EE92E

LokiBot

 
 
ordine 210191.exe
MD586048DBAA598B2068D98051A11A5341A
Dimensione: 163840 Bytes
VirITTrojan.Win32.VBZenPack_Heur

All'interno dell'archivio compresso "ordine 210191.PDF.gz" è presente il file "ordine 210191.exe" infetto dal password stealer LokiBot.


Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
86048DBAA598B2068D98051A11A5341A
pfstechexpo[.]com

LokiBot

 
 
SWIFT_10NM10CEPAAS5924.exe
MD5E3AD8CD04DCBDF64E57BD1A55534A26F
Dimensione: 392028 Bytes
VirITTrojan.Win32.LokiBot.CSF

All'interno dell'archivio compresso "SWIFT_10NM10CEPAAS5924.zip" è presente il file "SWIFT_10NM10CEPAAS5924.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
E3AD8CD04DCBDF64E57BD1A55534A26F
spmdc[.]xyz 

 

Consulta le campagne del mese di Dicembre/Gennaio

Vi invitiamo a consultare i report del mese di Dicembre/Gennaio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
18/01/2021 = Report settimanale delle campagne italiane di Malspam dal 18 gennaio 2021 al 24 gennaio 2021
11/01/2021 = Report settimanale delle campagne italiane di Malspam dal 11 gennaio 2021 al 17 gennaio 2021
26/12/2020 = Report settimanale delle campagne italiane di MalSpam dal 04 gennaio 2020 al 10 gennaio 2021
19/12/2020 = Report settimanale delle campagne italiane di MalSpam dal 26 dicembre al 03 gennaio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: