08/02/2021
11:14

2021W6 Report settimanale= > 08-14/02 2K21 campagne MalSpam target Italia


Malware veicolati attraverso le campagne: AgentTesla, FormBook, LokiBot, SLoad, Ave_Maria, Kronos, Ursnif, Downloader
       
week06

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 08 febbraio 2021 al 14 febbraio 2021: AgentTesla, FormBook, LokiBot, SLoad, Ave_Maria, Kronos, Ursnif, Downloader

INDICE

==> 08 febbraio 2021 => AgentTesla (1), FormBook (4), SLoad (1), Ursnif (1), LokiBot (1)

==>
09 febbraio 2021 => AgentTesla (1), Kronos (1), Downloader (1)

==> 10 febbraio 2021 => AgentTesla (1), FormBook (2), LokiBot (1), Ursnif (1)

==> 11 febbraio 2021 => FormBook (1)

==> 12 febbraio 2021 => AgentTesla (1), FormBook (1), Ave_Maria (1)
              
==> Consulta le campagne del mese di Gennaio/Febbraio


Nella settimana monitorata vi è stato un leggero calo delle campagne totali, ma un incremento per quelle rivolte all'utenza italiana.

Il Trojan Banker Ursnif ha colpito con due campagne rivolte all'utenza italiana ed abbiamo rilevato la comparsa anche del malware Kronos, sempre presenti vari Password Stealer come ad esempio
AgentTesla, FormBook, AveMaria e Lokibot .

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguarda le campagne scritte in italiano (con target Italia).
In questa settimana sono state 138 le campagne che abbiamo monitorato, di cui 20 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivisione dei periodi presi in considerazione:

Settimana
dal al
Week_03 18/01 24/01
Week_04 25/01 31/01
Week_05 01/02 07/02
Week_06 08/02 14/02


Nella settimana il picco totale delle campagne si è riscontrato lunedì 08 febbraio con 36 campagne, medesimo giorno anche per il picco delle campagne rivolte all'Italia, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 65.94% dei malware inviati via mail, seguita con il 13.77% di sample WIN32.
Il 9.42% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint).
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP
 

08 febbraio 2021

FormBook

 
 
AKACHUKWUDIYA.exe
Dimensione: 3854848 Bytes
VirITTrojan.Win32.PSWStealer.CSR

All'interno dell'archivio compresso "Pagamento 001.rar" è presente il file "AKACHUKWUDIYA.exe" infetto dal password stealer FormBook.
 

SLoad

 
 
00MZZWLR68B10H223Z.vbs
Dimensione: 7632 Bytes
VirITTrojan.VBS.sLoad.CSR

All'interno dell'archivio compresso "_00MZZWLR68B10H223Z.zip" è presente il file "_00MZZWLR68B10H223Z.vbs" infetto dal password stealer SLoad.
 

Ursnif

 
Aprendo il file word "varie_6696817.doc" possiamo vedere che si tratta di una finta circolare del Ministero dello Sviluppo Economico, una volta avviata la macro scarica il malware Ursnif e provvede ad eseguirne il payload.

varie_6696817.doc
Dimensione: 141936 Bytes
VirITW97M.Ursnif.CSR

[PAYLOAD URSNIF]
Dimensione: 316272 Bytes
VirITTrojan.Win32.Ursnif.CSR

Versione: 250177
Gruppo: 5773
Key: 10291029JSJUYNHG

FormBook

 
 
DHL-AWB 9645074906_Dettaglio_della_spedizione.exe
Dimensione: 25152 Bytes
VirITTrojan.Win32.PSWStealer.CSR

All'interno dell'archivio compresso "DHL-AWB 9645074906_Dettaglio_della_spedizione.iso" è presente il file "DHL-AWB 9645074906_Dettaglio_della_spedizione.exe" infetto dal password stealer FormBook.
 

FormBook

 
 
PO-080221_LaRettifica.exe
Dimensione: 251152 Bytes
VirITTrojan.Win32.PSWStealer.CSR

All'interno dell'archivio compresso "Catalogare.iso" è presente il file "Catalogare.exe" infetto dal password stealer FormBook.

FormBook

 
 
PAGAMENTO.exe
Dimensione: 326926 Bytes
VirITTrojan.Win32.PSWStealer.CSR

All'interno dell'archivio compresso "Catalogare.iso" è presente il file "Catalogare.exe" infetto dal password stealer FormBook.

LokiBot

 
 
FATTURA PROFORMA REVISIONATA PER.exe
Dimensione: 513024 Bytes
VirITTrojan.Win32.PSWStealer.CSS

All'interno dell'archivio compresso "FATTURA PROFORMA REVISIONATA PER.gz" è presente il file "FATTURA PROFORMA REVISIONATA PER.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
 

AgentTesla

 
 
bonifico bancario è allegato.exe
Dimensione: 603136 Bytes
VirITTrojan.Win32.PSWStealer.CST

All'interno dell'archivio compresso "bonifico bancario è allegato.zip" è presente il file "bonifico bancario è allegato.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 

La mail con le credenziali rubate viene inviata attraverso la posta elettronica.

09 febbraio 2021

AgentTesla

 
 
Pagamento fatura nº 058538.exe
Dimensione: 757248 Bytes
VirITTrojan.Win32.PSWStealer.CST

All'interno dell'archivio compresso "Pagamento fatura nº 058538.ace" è presente il file "Pagamento fatura nº 058538.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 
La mail con le credenziali rubate viene inviata attraverso la posta elettronica.

Kronos

 
  
Quietanza_203DS9X.doc
Dimensione: 346112 Bytes
VirITW97M.Dwnldr.CST

set.exe
Dimensione: 941056 Bytes
VirITTrojan.Win32.Kronos.CSU

Aprendo il file word "Quietanza_203DS9X.doc", all'interno troviamo una macro, la quale una volta avviata la macro scarica ed esegue il malware Kronos. 

Downloader

 
 
PROVA DI PAGAMENTO.exe
Dimensione: 959264 Bytes
VirITTrojan.Win32.PSWStealer.CST

Il file eseguibile che si trova all'interno dell'archivio PROVA DI PAGAMENTO.cab, effettua il collegamento ad un sito per scaricare il payload finale del malware. Il download non va a buon fine a causa dell'assenza del file nel sito. 
 
 
 

10 febbraio 2021

AgentTesla

 
  
ORDINE #57410433-pdf.JS
Dimensione: 5697 Bytes
VirITTrojan.JS.Dwnldr.CSV

All'interno dell'archivio compresso "ORDINE #57410433-pdf.7z" è presente il file "ORDINE #57410433-pdf.js" quale una volta lanciato, esegue un collegamento al sito di download per scaricare uno script che alla sua volta scarica il payload del password stealer AgentTesla e lo esegue in memoria attraverso un injection in un processo legittimo.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 
La mail con le credenziali rubate viene inviata attraverso FTP.
 

Ursnif

 
 
Aprendo il file word "notiz_3505492.doc" possiamo vedere che si tratta di una finta circolare del Ministero dello Sviluppo Economico, una volta avviata la macro scarica ed esegue il malware Ursnif.

notiz_3505492.doc
Dimensione: 253523 Bytes
VirITW97M.Ursnif.CSV

[PAYLOAD URSNIF]
Dimensione: 293744 Bytes
VirITTrojan.Win32.Ursnif.CSV

Versione: 250177
Gruppo: 7251
Key: 10291029JSJUYNHG  

FormBook

 
 
PO-090221.exe
Dimensione: 226581 Bytes
VirITTrojan.Win32.PSWStealer.CSV

All'interno dell'archivio compresso "PO-090221.iso" è presente il file "PO-090221.exe" infetto dal password stealer FormBook.
 

LokiBot

 
 
RICHIESTA D'OFFERTA N° 2021-OF-0000014 DEL 10.02.2021.exe
Dimensione: 169227 Bytes
VirITTrojan.Win32.Injector.CSV

All'interno dell'archivio compresso "RICHIESTA D'OFFERTA N° 2021-OF-0000014 DEL 10.02.2021.iso" è presente il file "RICHIESTA D'OFFERTA N° 2021-OF-0000014 DEL 10.02.2021.exe" infetto dal password stealer LokiBot.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 


FormBook

 
 
30 percento,pdf.exe
Dimensione: 226581 Bytes
VirITTrojan.Win32.PSWStealer.CSV

All'interno dell'archivio compresso "30_percentopdf.iso" è presente il file "30_percentopdf.exe" infetto dal password stealer FormBook.
 

 

11 febbraio 2021

FormBook

 
 
6608207805.exe
Dimensione: 550400 Bytes
VirITTrojan.Win32.FormBook.CSX

All'interno dell'archivio compresso "6608207805.7z" è presente il file "6608207805.exe" infetto dal password stealer FormBook.
 
 

12 febbraio 2021

FormBook

 
 
richiesta d'ordine pdf.exe
Dimensione: 1024512 Bytes
VirITTrojan.Win32.PSWStealer.CSZ

All'interno dell'archivio compresso "richiesta d'ordine pdf.zip" è presente il file "richiesta d'ordine pdf.exe" infetto dal password stealer FormBook.

AgentTesla

 
 
pagamento.exe
Dimensione: 1758720 Bytes
VirITTrojan.Win32.PSWStealer.CSZ

All'interno dell'archivio compresso "pagamento.zip" è presente il file "pagamento.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 
La mail con le credenziali rubate viene inviata attraverso la posta elettronica.
 

Ave_Maria

 
 
01D282D5.exe
Dimensione: 973312 Bytes
VirITTrojan.Win32.PSWStealer.CTA

All'interno dell'archivio compresso "01D282D5.7z" è presente il file "01D282D5.exe" infetto dal password stealer Ave_Maria.
 
 

Consulta le campagne del mese di Gennaio/Febbraio

Vi invitiamo a consultare i report del mese di Gennaio/Febbraio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
01/02/2021 = Report settimanale delle campagne italiane di Malspam dal 01 febbraio 2021 al 07 febbraio 2021
25/01/2021 = Report settimanale delle campagne italiane di Malspam dal 25 gennaio 2021 al 31 gennaio 2021
18/01/2021 = Report settimanale delle campagne italiane di MalSpam dal 18 gennaio 2021 al 24 gennaio 2021
11/01/2021 = Report settimanale delle campagne italiane di MalSpam dal 11 gennaio 2021 al 17 gennaio 2021

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: