22/01/2019
16:35

Finta notifica DHL consegna invece il malware / pswstealer LokiBot

Nuova campagna MalSpam del finto pacco DHL porta al download ed infezione del PC con il Malware Stealer noto come LokiBot
      
 
 
 

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft di una delle email che diffonde il malware Trojan LokiBot  in data  21 Gennaio 2019.


Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.

INDICE
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

Falsa Mail diffonde Trojan "LokiBot"

Nome: LokiBot
Famiglia malware: Password Stealer

Descrizione:
La mail è stata rilevata in data 21 Gennaio 2019

Esempio di email analizzata:

Oggetto: DHL Express Shipment Confirmation
 
 
DHL Express Shipment Confirmation - Mozilla Thunderbird
Da:                          
Oggetto: DHL Express Shipment Confirmation
A:                           
|--------------------------------|
|          DHL LOGO              |
|--------------------------------|

DHL Express Shipment Confirmation

Dear Sir/Madam,


An enclosed package addressed to you was sent  through our courier service by you0r business associate.

We need to confirm you are the actual receiver before we set out for final delivery to your address.

Download Attachment  file to confirm your delivery address with us to ensure smooth and fast delivery.


Failure to verify address might lead to delay in scheduled delivery or loss of important document

|------------------|
|                  |
|       LINK       |
|                  |
|------------------|


Sincerely
DHL Delivery Team.

(c) 2018 DHL International

 

CONFIDENTIALITY NOTICE: This message is from DHL and may contain confidential business information. It is intended solely for the use of the individual to whom it is addressed. If you are not the intended recipient please contact the sender and delete this message and any attachment from your system. Unauthorized publication, use, dissemination, forwarding, printing or copying of this E-Mail and its attachments is strictly prohibited.

 
 
 

Torna ad inizio pagina

Come si diffonde:
La mail, a tema di un noto corriere, sostiene la necessità di confermare l'indirizzo di spedizione di un pacco attraverso il download dell'allegato.
In realtà la mail non contiene un allegato bensì un link associato ad una immagine di un documento sfocato ed illeggibile così da invogliare l'utente a cliccarci per poterlo vedere in maniera corretta.
Il link fa riferimento ad un noto e legittimo servizio di trasferimento file (OneDrive):
  • https[:]//onedrive.live[.]com/download?cid=391FF638CEDA8645&resid=391FF638CEDA8645%21106&authkey=AMGNNPFwLT3rchE
La tecnica di utilizzare servizi di traferimento file legittimi è utilizzata per evadere i sistemi di controllo.

Il link porta al download di un file di archivio (.iso) con le seguenti caratteristiche:
  • Nome File: DHL DOCUMENTS ,xls.iso
  • Dimensione: 157.895 byte
  • Md5: 3BFFA0DB89D1358B3A5DEBEFEDC18837
L'archivio contiene al suo interno un file eseguibile con le seguenti caratteristiche:
  • Nome File: DHL DOCUMENTS ,xls.exe
  • Dimensione: 212.992 byte
  • Md5: 9C78530B77E5D578FF117A7AE06E17FB
  • Data di compilazione: 20/01/2019 - 23:52:19
  • Famiglia malware: LokiBot
  • VirIT: Trojan.Win32.LokiBot.BGE
Come si può vedere dal grafico sottostante il file eseguibile una volta avviato come primo step esegue il software legittimo del Sistema Operativo Windows "RegAsm.exe" ove andrà ad eseguire una Injection per poi procedere ad esfiltrare i dati.

Effettuata l'Injection il malware inizia a raccogliere le informazioni da esfiltrare andando a leggere le informazioni/file di configurazione di vari software di cui ne riportiamo alcuni esempi:
 
Browser Client Email Client FTP
Internet Explorer
Mozilla Firefox
Google Chrome
Mozilla SeaMonkey
YandexBrowser
Opera
Comodo IceDragon
Epic Privacy Browser
Safari
Flock Browser
Lunascape		 Outlook
Thunderbird
FossaMail
IncrediMail		 BlazeFtp
ClassicFTP
Cyberduck
EasyFTP
FileZilla

Successivamente il malware tenta di collegarsi al server di comando e controllo (C&C):
  • http[:]//somotexng[.]ru/newone/Panel/fre.php
In data di analisi il server di C&C non è raggiungibile.

Di seguito il grafico del processo di infezione:
 
 
All'interno del corpo del malware sono stati riscontrati anche i seguenti URL:
  • kbfvzoboss[.]bid/alien/fre[.]php
  • alphastand[.]trade/alien/fre[.]php
  • alphastand[.]win/alien/fre[.]php
  • alphastand[.]top/alien/fre[.]php

Il Trojan.Win32.LokiBot fa parte della macrofamiglia dei Password Stealer, le sue peculiarità sono quelle di carpire login e password di accesso a siti importanti come home banking, social network, credenziali di accesso dei portali web, posta elettronica, FTP, etc...


IOC

MD5:
3BFFA0DB89D1358B3A5DEBEFEDC18837
9C78530B77E5D578FF117A7AE06E17FB

URL:
somotexng[.]ru
 
Torna ad inizio pagina

 

Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possibile/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: