08/02/2021
11:14

2021W6 Report settimanale= > 08-14/02 2K21 campagne MalSpam target Italia

Malware veicolati attraverso le campagne: AgentTesla, FormBook, LokiBot, SLoad, Ave_Maria, Kronos, Ursnif, Downloader
       
week06

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 08 febbraio 2021 al 14 febbraio 2021: AgentTesla, FormBook, LokiBot, SLoad, Ave_Maria, Kronos, Ursnif, Downloader

INDICE

==> 08 febbraio 2021 => AgentTesla (1), FormBook (4), SLoad (1), Ursnif (1), LokiBot (1)

==> 09 febbraio 2021 => AgentTesla (1), Kronos (1), Downloader (1)

==> 10 febbraio 2021 => AgentTesla (1), FormBook (2), LokiBot (1), Ursnif (1)

==> 11 febbraio 2021 => FormBook (1)

==> 12 febbraio 2021 => AgentTesla (1), FormBook (1), Ave_Maria (1)
              
==> Consulta le campagne del mese di Gennaio/Febbraio

Nella settimana monitorata vi è stato un leggero calo delle campagne totali, ma un incremento per quelle rivolte all'utenza italiana.

Il Trojan Banker Ursnif ha colpito con due campagne rivolte all'utenza italiana ed abbiamo rilevato la comparsa anche del malware Kronos, sempre presenti vari Password Stealer come ad esempio AgentTesla, FormBook, AveMaria e Lokibot .

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguarda le campagne scritte in italiano (con target Italia).
In questa settimana sono state 138 le campagne che abbiamo monitorato, di cui 20 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivisione dei periodi presi in considerazione:

Settimana
 dal al
Week_03 18/01 24/01
Week_04 25/01 31/01
Week_05 01/02 07/02
Week_06 08/02 14/02


Nella settimana il picco totale delle campagne si è riscontrato lunedì 08 febbraio con 36 campagne, medesimo giorno anche per il picco delle campagne rivolte all'Italia, come è evidenziato dal grafico riportato di seguito:




La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 65.94% dei malware inviati via mail, seguita con il 13.77% di sample WIN32.
Il 9.42% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint).
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP
 

08 febbraio 2021

FormBook

 
 
AKACHUKWUDIYA.exe
Dimensione: 3854848 Bytes
VirITTrojan.Win32.PSWStealer.CSR

All'interno dell'archivio compresso "Pagamento 001.rar" è presente il file "AKACHUKWUDIYA.exe" infetto dal password stealer FormBook.
 

SLoad

 
 
00MZZWLR68B10H223Z.vbs
Dimensione: 7632 Bytes
VirITTrojan.VBS.sLoad.CSR

All'interno dell'archivio compresso "_00MZZWLR68B10H223Z.zip" è presente il file "_00MZZWLR68B10H223Z.vbs" infetto dal password stealer SLoad.
 

Ursnif

 
Aprendo il file word "varie_6696817.doc" possiamo vedere che si tratta di una finta circolare del Ministero dello Sviluppo Economico, una volta avviata la macro scarica il malware Ursnif e provvede ad eseguirne il payload.

varie_6696817.doc
Dimensione: 141936 Bytes
VirITW97M.Ursnif.CSR
[PAYLOAD URSNIF]
Dimensione: 316272 Bytes
VirITTrojan.Win32.Ursnif.CSR
Versione: 250177
Gruppo: 5773
Key: 10291029JSJUYNHG

FormBook

 
 
DHL-AWB 9645074906_Dettaglio_della_spedizione.exe
Dimensione: 25152 Bytes
VirITTrojan.Win32.PSWStealer.CSR

All'interno dell'archivio compresso "DHL-AWB 9645074906_Dettaglio_della_spedizione.iso" è presente il file "DHL-AWB 9645074906_Dettaglio_della_spedizione.exe" infetto dal password stealer FormBook.
 

FormBook

 
 
PO-080221_LaRettifica.exe
Dimensione: 251152 Bytes
VirITTrojan.Win32.PSWStealer.CSR

All'interno dell'archivio compresso "Catalogare.iso" è presente il file "Catalogare.exe" infetto dal password stealer FormBook.

FormBook

 
 
PAGAMENTO.exe
Dimensione: 326926 Bytes
VirITTrojan.Win32.PSWStealer.CSR

All'interno dell'archivio compresso "Catalogare.iso" è presente il file "Catalogare.exe" infetto dal password stealer FormBook.

LokiBot

 
 
FATTURA PROFORMA REVISIONATA PER.exe
Dimensione: 513024 Bytes
VirITTrojan.Win32.PSWStealer.CSS

All'interno dell'archivio compresso "FATTURA PROFORMA REVISIONATA PER.gz" è presente il file "FATTURA PROFORMA REVISIONATA PER.exe" infetto dal password stealer LokiBot.
Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
 

AgentTesla

 
 
bonifico bancario è allegato.exe
Dimensione: 603136 Bytes
VirITTrojan.Win32.PSWStealer.CST

All'interno dell'archivio compresso "bonifico bancario è allegato.zip" è presente il file "bonifico bancario è allegato.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 

La mail con le credenziali rubate viene inviata attraverso la posta elettronica.

09 febbraio 2021

AgentTesla

 
 
Pagamento fatura nº 058538.exe
Dimensione: 757248 Bytes
VirITTrojan.Win32.PSWStealer.CST

All'interno dell'archivio compresso "Pagamento fatura nº 058538.ace" è presente il file "Pagamento fatura nº 058538.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 
La mail con le credenziali rubate viene inviata attraverso la posta elettronica.

Kronos

 
  
Quietanza_203DS9X.doc
Dimensione: 346112 Bytes
VirITW97M.Dwnldr.CST
set.exe
Dimensione: 941056 Bytes
VirITTrojan.Win32.Kronos.CSU
Aprendo il file word "Quietanza_203DS9X.doc", all'interno troviamo una macro, la quale una volta avviata la macro scarica ed esegue il malware Kronos. 

Downloader

 
 
PROVA DI PAGAMENTO.exe
Dimensione: 959264 Bytes
VirITTrojan.Win32.PSWStealer.CST

Il file eseguibile che si trova all'interno dell'archivio PROVA DI PAGAMENTO.cab, effettua il collegamento ad un sito per scaricare il payload finale del malware. Il download non va a buon fine a causa dell'assenza del file nel sito. 
 
 
 

10 febbraio 2021

AgentTesla

 
  
ORDINE #57410433-pdf.JS
Dimensione: 5697 Bytes
VirITTrojan.JS.Dwnldr.CSV

All'interno dell'archivio compresso "ORDINE #57410433-pdf.7z" è presente il file "ORDINE #57410433-pdf.js" quale una volta lanciato, esegue un collegamento al sito di download per scaricare uno script che alla sua volta scarica il payload del password stealer AgentTesla e lo esegue in memoria attraverso un injection in un processo legittimo.
Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 
La mail con le credenziali rubate viene inviata attraverso FTP.
 

Ursnif

 
 
Aprendo il file word "notiz_3505492.doc" possiamo vedere che si tratta di una finta circolare del Ministero dello Sviluppo Economico, una volta avviata la macro scarica ed esegue il malware Ursnif.

notiz_3505492.doc
Dimensione: 253523 Bytes
VirITW97M.Ursnif.CSV
[PAYLOAD URSNIF]
Dimensione: 293744 Bytes
VirITTrojan.Win32.Ursnif.CSV
Versione: 250177
Gruppo: 7251
Key: 10291029JSJUYNHG  

FormBook

 
 
PO-090221.exe
Dimensione: 226581 Bytes
VirITTrojan.Win32.PSWStealer.CSV

All'interno dell'archivio compresso "PO-090221.iso" è presente il file "PO-090221.exe" infetto dal password stealer FormBook.
 

LokiBot

 
 
RICHIESTA D'OFFERTA N° 2021-OF-0000014 DEL 10.02.2021.exe
Dimensione: 169227 Bytes
VirITTrojan.Win32.Injector.CSV

All'interno dell'archivio compresso "RICHIESTA D'OFFERTA N° 2021-OF-0000014 DEL 10.02.2021.iso" è presente il file "RICHIESTA D'OFFERTA N° 2021-OF-0000014 DEL 10.02.2021.exe" infetto dal password stealer LokiBot.
Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 

FormBook

 
 
30 percento,pdf.exe
Dimensione: 226581 Bytes
VirITTrojan.Win32.PSWStealer.CSV
All'interno dell'archivio compresso "30_percentopdf.iso" è presente il file "30_percentopdf.exe" infetto dal password stealer FormBook.
 

 

11 febbraio 2021

FormBook

 
 
6608207805.exe
Dimensione: 550400 Bytes
VirITTrojan.Win32.FormBook.CSX
All'interno dell'archivio compresso "6608207805.7z" è presente il file "6608207805.exe" infetto dal password stealer FormBook.
 
 

12 febbraio 2021

FormBook

 
 
richiesta d'ordine pdf.exe
Dimensione: 1024512 Bytes
VirITTrojan.Win32.PSWStealer.CSZ

All'interno dell'archivio compresso "richiesta d'ordine pdf.zip" è presente il file "richiesta d'ordine pdf.exe" infetto dal password stealer FormBook.

AgentTesla

 
 
pagamento.exe
Dimensione: 1758720 Bytes
VirITTrojan.Win32.PSWStealer.CSZ

All'interno dell'archivio compresso "pagamento.zip" è presente il file "pagamento.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:

  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
 
La mail con le credenziali rubate viene inviata attraverso la posta elettronica.
 

Ave_Maria

 
 
01D282D5.exe
Dimensione: 973312 Bytes
VirITTrojan.Win32.PSWStealer.CTA

All'interno dell'archivio compresso "01D282D5.7z" è presente il file "01D282D5.exe" infetto dal password stealer Ave_Maria.
 
 

Consulta le campagne del mese di Gennaio/Febbraio

Vi invitiamo a consultare i report del mese di Gennaio/Febbraio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
01/02/2021 = Report settimanale delle campagne italiane di Malspam dal 01 febbraio 2021 al 07 febbraio 2021
25/01/2021 = Report settimanale delle campagne italiane di Malspam dal 25 gennaio 2021 al 31 gennaio 2021
18/01/2021 = Report settimanale delle campagne italiane di MalSpam dal 18 gennaio 2021 al 24 gennaio 2021
11/01/2021 = Report settimanale delle campagne italiane di MalSpam dal 11 gennaio 2021 al 17 gennaio 2021

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: