04/12/2018
16:20

Campagna malspam "Aggiornamento di dicembre, analisi dei dati aggiornata su quotazione" con target Italia veicola i malware Pony e HawkEye.

In data 4 dicembre 2018 massiva campagna di malspam indirizzata agli utenti italiani veicola i password stealer Pony e HawkEye.
 
 
In data 4 dicembre 2018 il Centro di Ricerca Anti-Malware C.R.A.M. di TG Soft ha rilevato campagna di malspam rivolta all'utenza italiana che diffonde i malware Pony e HawkEye, utilizzando la vulnerabilità CVE-2018-0802.

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

INDICE
 

Campagne malspam "Aggiornamento di dicembre, analisi dei dati aggiornata su quotazione"


Descrizione:
In data 4 dicembre vi è stata una campagna di malspam indirizzata all'utenza italia per diffondere i malware Pony e HawkEye.

Le mail inviate hanno oggetto:
  • "Aggiornamento di dicembre, analisi dei dati aggiornata su quotazione".
  • [info] Aggiornamento di dicembre, analisi dei dati aggiornata su quotazione

Nella figura sottostante possiamo vedere la prima mail con oggetto: "Aggiornamento di dicembre, analisi dei dati aggiornata su quotazione".


 

All'interno della mail vi sono 2 allegati:
  • Analisi dei dati per_dicembre.doc
  • Richiesta urgente di_docency.7z
Nome file: Analisi dei dati per_dicembre.doc
Dimensione: 124.282 byte
MD5: D513E433B0209D99C30C0149F66BF725
VirIT: Trojan.RTF.Dropper.BDV

Nome file: Richiesta urgente di_docency.7z
Dimensione: 931.903 byte)
MD5: B7BF34E52F8F2664CE3A0FBC2E20CDEF

Invece nella figura sottostante possiamo vedere la seconda mail con oggetto: "[info] Aggiornamento di dicembre, analisi dei dati aggiornata su quotazione."


All'interno della mail, in questo caso, vi troviamo solo un file allegato:
  • documenti.7z
Nome file: documenti.7z
Dimensione: 805.767 byte
MD5: 37BB86EE0181F6B282985369F5E6EB5A

Torna ad inizio pagina


Analisi del file "Analisi dei dati per_dicembre.doc"


Il documento "Analisi dei dati per_dicembre.doc" è un file RTF che contiene la vulnerabilità di Equation Editor CVE-2018-0802 e una finta immagine WMF (Windows Meta File).
L'apertura del documento si presenta come in figura:



Il quadrato con bordo nero rappresenterebbe la finta immagine "A04MV56.wmf":
Nome File: A04MV56.wmf
Dimensione: 57.344 byte
MD5: C628EB3FC28139B1D2C4A2E42FD44109

L'esecuzione dell'exploit CVE-2018-0802 di Equation Editor comporta la decifratura in %temp% della finta immagine "A04MV56.wmf" nel file eseguibile OSE.EXE:

Nome file: OSE.EXE
Dimensione: 57.344 byte
MD5: 52F12D643D9F74583381FCA9C46EE7E5
Data di compilazione: 26/11/2018 - 18:10:16
VirIT: Trojan.Win32.Downloader.BDW

Per la persistenza il file OSE.EXE viene messo in esecuzione automatica creando la seguente chiave di registro:
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
OSE =  %temp%\ose.exe

Il file OSE.EXE è un Trojan Downloader scritto in MSIL (C#) che si collega al seguente sito: https://ninta[.]pw/Ninta23.exe

Da cui viene scaricato il file eseguibile "Ninta23.exe":

Nome file: Ninta23.exe
Dimensione: 270.848 byte
MD5: e3debbab5af23e219d69ac20bf0760ea
Data di compilazione: 04/12/2018 - 01:03:13
VirIT: Trojan.Win32.Pony.BDW

Il file "Ninta23.exe" viene salvato in c:\%user%\Documents\ con il nome di Ninta.exe.
Il malware Ninta.exe appartiene alla famiglia dei password stealer Pony, dove invia le informazione esfiltrate al server di comando e controllo:
  • http://cm-lagoa[.]pt/panel/gate.php

Inoltre cerca di eseguire il download di: http://cm-lagoa[.]pt/panel/shit.exe

Lo scopo del password stealer "Ninta.exe", appartenente alla famiglia Pony, è di rubare le credenziali di accesso a servizi (home banking), portali o software memorizzate nel nostro computer. Quì possiamo vedere un elenco dei software colpiti:
  • Far Manager
  • Total Commander
  • WS_FTP
  • CuteFTP
  • FileZilla
  • Bullet Proof FTP
  • TurboFTPSoftware
  • CoffeeCup Software
  • NCH Software
  • LeapFTPSOFTWARE
  • Opera
  • Firefox
  • SeaMonkey
  • Google Chrome
  • BlazeFtp
  • Windows Mail
  • Windows Live Mail
  • The Bat!
  • Outlook
  • Thunderbird
e molti altri.

Inoltre contiene il seguente vocabolario di password:
123456 password phpbb qwerty 12345 jesus 12345678 1234 abc123 letmein test love 123 password1 hello monkey dragon trustno1 111111 iloveyou 1234567 shadow 123456789 christ sunshine master computer princess tigger football angel jesus1 123123 whatever freedom killer asdf soccer superman michael cheese internet joshua fuckyou blessed baseball starwars 000000 purple jordan faith summer ashley buster heaven pepper 7777777 hunter lovely andrew thomas angels charlie daniel 1111 jennifer single hannah qazwsx happy matrix pass aaaaaa 654321 amanda nothing ginger mother snoopy jessica welcome pokemon iloveyou1 11111 mustang helpme justin jasmine orange testing apple michelle peace secret 1 grace william iloveyou2 nicole 666666 muffin gateway fuckyou1 asshole hahaha poop blessing blahblah myspace1 matthew canada silver robert forever asdfgh rachel rainbow guitar peanut batman cookie bailey soccer1 mickey biteme hello1 eminem dakota samantha compaq diamond taylor forum john316 richard blink182 peaches cool flower scooter banana james asdfasdf victory london 123qwe 123321 startrek george winner maggie trinity online 123abc chicken junior chris passw0rd austin sparky admin merlin google friends hope shalom nintendo looking harley smokey 7777 joseph lucky digital a thunder spirit bandit enter anthony corvette hockey power benjamin iloveyou! 1q2w3e viper genesis knight qwerty1 creative foobar adidas rotimi slayer wisdom


Nella figura sottostante possiamo vedere graficamente come vengono eseguiti i processi del malware dall'apertura del documento infetto all'esecuzione del processo Ninta.exe del Pony:




Analisi del file "Richiesta urgente di_docency.7z"


All'interno del file compresso "Richiesta urgente di_docency.7z", troviamo il seguente file:

Nome file: Richiesta urgente di docency.exe
Dimensione: 992.256 byte
MD5: DB553286A76871759EBDBC088F2408FA
Data di compilazione: 28/01/1971 - 05:46:46
VirIT: Trojan.Win32.PSWStealer.BDV

Il malware nelle macchine dove abbiamo testato il file "Richiesta urgente di docency.exe" è sempre andato in crash, molto probabilmente si tratta di un altro password stealer.


Analisi del file "documenti.7z"

All'interno del file compresso "documenti.7z"  vi troviamo il seguente file:

Nome file: documenti.exe
Dimensione: 835.072 byte
MD5: 2288AE3CC673244A3324F85A6F1E3A33
Data di compilazione: 03/07/1993 - 23:00:36
VirIT: Trojan.Win32.HawkEye.BDW

L'esecuzione del file "documenti.exe" comporta l'injection del malware "HawkEye" nel processo AppLaunch.exe, il quale esegue l'injection in due processi del modulo VBC.EXE con i moduli della NirSoft "Password-Recovery" e "WebBrowserPassView", che gli permetterà di esfiltare le credenziali di accesso / password memorizzate nei vari browser (Firefox, Chrome, Opera, etc) e nei programmi di posta elettronica (Windows Mail, Windows Live Mail, Thunderbird, etc)  presenti nel computer.

Le informazioni esfiltrate vengono inviate via email all'indirizzo: handel@e-programy.eu
con oggetto: HawkEye Keylogger - Reborn v8 - Passwords Logs -  <username> \ <computername>
Nella figura sottostante possiamo vedere graficamente come vengono eseguiti i processi del malware "HawkEye" dall'esecuzione di "documenti.exe" all'esfiltrazione dei dati sfruttando l'injections su AppLaunch.exe e VBC.EXE:




IOC

MD5:
D513E433B0209D99C30C0149F66BF725
B7BF34E52F8F2664CE3A0FBC2E20CDEF
37BB86EE0181F6B282985369F5E6EB5A
C628EB3FC28139B1D2C4A2E42FD44109
52F12D643D9F74583381FCA9C46EE7E5
e3debbab5af23e219d69ac20bf0760ea
DB553286A76871759EBDBC088F2408FA

URL:
https://ninta[.]pw/Ninta23.exe
http://cm-lagoa[.]pt/panel/gate.php
http://cm-lagoa[.]pt/panel/shit.exe
220-s6.smarthost.pl

IP:
104.18.35[.]110
89.26.249[.]46
91.211.222[.]201 Porta: 587

Email:
handel@e-programy.eu
 


Torna ad inizio pagina

 

Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possibile/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: