25/06/2018
14:50

Campagna Malware contro gli utenti Italiani, di probabile origine Turca del 25 giugno 2018 che veicola il Trojan bancario TinyNuke

DaI 25 giugno 2018 viene distribuita una mail malevole di una finta fattura che porta al download ed esecuzione di una nuova variante del Trojan bancario TinyNuke
      
 
 
 

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft della campagna di mail che diffonde il malware Trojan Banker TinyNuke in data  25 giugno 2018

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

INDICE
 

Campagna malware "TinyNuke"

Nome: Trojan.Win32.TinyNuke
Famiglia malware: Trojan Banker
VirIT: Trojan.Win32.TinyNuke.A, Trojan.Win32.TinyNuke.B

Descrizione:
La campagna di mail è partita questa mattina in data 25 Giugno 2018

Esempio di email analizzata:

Oggetto: La tua fattura del 22/06/2018 

Signora o signore,
La vostra referenza del cliente: TE000318

Ti inviamo questa email per confermare la ricevuta di pagamento relativa all'ordine N°0003157 del 22/06/2018.
Hai scelto il pagamento con carta di credito.
La tua fattura è disponibile a questo indirizzo e rimarrà lì 24 ore dopo il download iniziale.

Siamo raggiungibili dal lunedì al venerdì dalle 9h alle 19h al numero indicato nell'intestazione de la fattura.

Cordiali saluti,
Servizio contabile
Torna ad inizio pagina

Come si diffonde:
La mail si presenta come una ricevuta di pagamento di un ipotetico ordine per cui è necessario procedere al download della relativa fattura, i 2 link puntano al sito http://mail[.]sandwichisland[.]com/fattura/ e quando cliccati portano al download di un file di archivio .ZIP dal nome "fattura_22-06-18_1227572.zip"

Questo primo archivio .ZIP contiene un file di testo vuoto dal nome "checksum.txt" ed un ulteriore archivio .ZIP dal nome "fattura_22-06-2018.zip".

Il secondo archivio .ZIP contiene un file eseguibile dal nome "fattura_22-06-2018.exe"

La campagna ha portato alla diffusione di altre email infette da cui viene scaricato il malware dai seguenti URL:
  • http://mail[.]sandwichisland[.]com/fattura/
  • http://mail[.]artisancloud[.]net/fattura/
  • http://mail[.]investforshow[.]com/fattura/
  • http://mail[.]breezypointdaycamp[.]com/fattura/
  • http://mail[.]kidcompanions[.]net/fattura/
  • http://mail[.]franciscopupo[.]com/fattura/
  • http://mail[.]spectrumcommunicationstv[.]com/fattura/

Il payload analizzato ha le seguenti caratteristiche:

Nome File: fattura_22-06-2018.exe
Dimensione: 4492049 byte
MD5: 9A08AF60A5265EDF245D412B9A1A9351

Quando il file viene eseguito si scompatta nella cartella [%temp%]\[cartella temporale], al suo interno possiamo trovare una copia del browser Firefox.exe (MD5: 52FFABA4273678BAE75442F2BC85B470) completo delle sue DLL ed in più sono presenti:

  • il programma Tor.exe (MD5: 092E1A9BA12BE5B7E035BC9179C090BF)
  • l'immagine count_it_up.jpg (MD5: C75397B7F42B9DD8E07B0FEF7923CBAD)
  • la Dll6.dll (MD5: E260BB10DC6EF85370E90F2281692742) dimensione 223744 bytes

L'immagine "count_it_up.jpg" scaricata dal Banker Trojan.Win32.TinyNuke

All'interno della libreria Dll6.dll è contenuto il malware Trojan.Win32.TinyNuke
Perchè il modulo infetto Dll6.dll venga caricata automaticamente all'apertura di Firefox è presente un file "dependentlibs.list" che viene utilizzato da Firefox proprio per caricare DLL presenti nella ROOT del programma stesso.

Viene quindi eseguito per la prima volta il programma Firefox che caricherà al suo interno il malware, presente all'interno della libreria Dll6.dll; verrà quindi di nuovo eseguito un nuovo processo di Firefox che eseguirà un processo di Tor, a questo punto verrà eseguito un altro processo di Firefox dalla cartella %appdata%\[ID utente] esempio (%userprofile%\AppData\Roaming\2C73FCE9544F925C\firefox.exe).

Il nuovo processo di Firefox eseguirà ad ogni secondo una nuova istanza di TOR e cercherà di connettersi al seguente dominio:

http://sxgqppyilieqi2vi[.]onion/admin/_[.]php?2C73FCE9544F925C

Alla pagina del sito onion (_.php) viene passato l'ID della vittima che nel nostro esempio è "2C73FCE9544F925C", così da permettergli di identificarsi con il server di C&C (Comando e Controllo).

Lo scambio di informazioni tra Firefox e Tor avviene tramite l'utilizzo di una porta locale che è la 9050 TCP, che viene creata dal primo processo di TOR e sfruttata dalla DLL malevola (Dll6.dll).

Attraverso questa porta vengono scambiate le seguenti informazioni:
"nikoumouk sxgqppyilieqi2vi.onion"

Il malware contenuto nella libreria Dll6.dll contiene al suo interno un'altra DLL malevola che è infetta dal Trojan.Win32.TinyNuke.B e che fa parte della famiglia dei Trojan Banker.

Interessante notare che all'interno del modulo Dll6.dll sono presenti alcune stringhe:

STRINGA 1:
"F0r all the infosec girls pls be my gf I cry alone at night pls com I sad I don't have security boobies to play with plsss.
pls come to ankara i show u good time. I'm very rich I show u good t1me!!!11!!! I'm *the* cyber p1mp yooo! ( 0 )( 0 )"


STRINGA 2:
"C:\Users\User\Desktop\Project\TinyNuke\Bin\Bot.pd"

 
Collegandosi al sito http://sxgqppyilieqi2vi[.]onion viene visualizzata la seguente immagine raffigurante "Mustafa Kemal Atatürk" che è stato un militare e politico turco, fondatore e primo Presidente della Turchia. È considerato l'eroe nazionale turco, e padre della "Turchia moderna" (Fonte: WIKIPEDIA).

Con il messaggio "Armut pis agzima düs" che tradotto dalla lingua Turca recita "La pera è sporca".
 

L'immagine di Mustafa Kemal Atatürk viene caricata dal sito https://richardlangworth[.]com/wp-content/uploads/2010/07/f089b3f5045557f987b5ce90c3ea0609786fcd0e[.]jpg.

Il file Firefox.exe che carica la DLL malevola viene posto in esecuzione automatica creando un link nella cartella di startup dell'utente:

%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2C73FCE9544F925C.lnk
con destinazione: %userprofile%\AppData\Roaming\2C73FCE9544F925C\firefox.exe

Il Trojan.Win32.TinyNuke fa parte della macrofamiglia dei Banker, le sue peculiarità sono quelle di carpire password di accesso a siti importanti come possono essere home banking, posta elettronica, ftp etc.

IOC:
 
MD5:
FDD3D87AD53C506AB172D415729A5914
9EF0D6BCEA1141DB49C973B21B307915
9A08AF60A5265EDF245D412B9A1A9351
E260BB10DC6EF85370E90F2281692742
C75397B7F42B9DD8E07B0FEF7923CBAD

URL:
http://mail[.]sandwichisland[.]com/fattura/
http://mail[.]artisancloud[.]net/fattura/
http://mail[.]investforshow[.]com/fattura/
http://mail[.]breezypointdaycamp[.]com/fattura/
http://mail[.]kidcompanions[.]net/fattura/
http://mail[.]franciscopupo[.]com/fattura/
http://mail[.]spectrumcommunicationstv[.]com/fattura/
193.124.92.163
193.124.92.217
193.124.92.213
193.124.92.167
193.124.92.165
193.124.92.172
193.124.92.219
sxgqppyilieqi2vi[.]onion
Torna ad inizio pagina

 

Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possibile/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: