10/02/2020
09:58

2020W06 Report settimanale= > 08-14/02 2K20 campagne MalSpam target Italia


Malware veicolati attraverso le campagne: Ursnif, HawkEye, LokiBot, PWStealer
       
week06

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 08 febbraio 2020 al 14 febbraio 2020: Ursnif, HawkEye, Lokibot, PWStealer

INDICE

 ==> 10 febbraio 2020 => PWStealer
 
 
==> 11 febbraio 2020 => Ursnif, PWStealer

 ==>
 12 febbraio 2020 => Ursnif, PWStealer

 ==> 
13 febbraio 2020 => HawkEye, LokiBot, PWStealer
 

 
==> Consulta le campagne del mese di Gennaio



10 febbraio 2020

PWStealer


445_ ORDINE_ Febbraio.exe

MD5: b2855b109ce14476994de44de7df6d16
Dimensione: 172032 Bytes
VirIT: Trojan.Win32.PSWStealer.BZL

IOC:
b2855b109ce14476994de44de7df6d16


Torna ad inizio pagina
 

11 febbraio 2020

PWStealer



DHL_FORM14PDF.exe
MD5: 2bf02f2839093facb852a32b53604459
Dimensione: 2077696 Bytes
VirITTrojan.Win32.Injector.BZM

IOC
:
2bf02f2839093facb852a32b53604459

PWStealer



quotazione 67123__pdf.exe
MD5: be1c22a13637ff7630d6a56f19b6067e
Dimensione: 492554 Bytes
VirITTrojan.Win32.PSWStealer.BZM

IOC
:
be1c22a13637ff7630d6a56f19b6067e
 
Torna ad inizio pagina

Ursnif



info_02_11.doc
MD5: 6902373f13d39b2e1785aaf062e8fb43
Dimensione: 70677 Bytes
VirITW97M.Ursnif.BZN

(PAYLOAD URSNIF)
MD5: 631c71ba06a8fe716825f8f68ada9820
Dimensione: 204800 Bytes
VirITTrojan.Win32.Ursnif.BZN


Versione: 214112
Gruppo: 3583
Key: 10291029JSJUYNHG

IOC:
6902373f13d39b2e1785aaf062e8fb43
631c71ba06a8fe716825f8f68ada9820
 
p://kmqdagp70r[.]com
p://wv01gwbrgs[.]com
p://qr12s8ygy1[.]com
p://fal6qo3f68[.]com
p://f200rotcl2[.]com
p://dvt553ldkg[.]com

Torna ad inizio pagina

PWStealer


45489_scan-pdf.exe
MD5: c0d03ecbeb3befee331d8d80a241fb34
Dimensione: 61440 Bytes
VirITTrojan.Win32.PSWStealer.BZN

IOC
:
c0d03ecbeb3befee331d8d80a241fb34

PWStealer

 

Foglio delle quotazioni_ # 11022020.exe
MD5: f126648291d5db769a6c33059271faab
Dimensione: 588288 Bytes
VirIT: Trojan.Win32.PSWStealer.BZN

IOC
:
f126648291d5db769a6c33059271faab

Torna ad inizio pagina

PWStealer


Ordinazione d'acquisto.838.41900.........pdf.exe
MD5: ad080f87997a448864a12e977ed35de8
Dimensione: 1651200 Bytes
VirIT: Trojan.Win32.PSWStealer.BZO

IOC
:
ad080f87997a448864a12e977ed35de8

PWStealer


Contabile conto corrente IT_PDF.exe
MD5: 1348d69b4999e692fabe0000980e2b26
Dimensione: 61440 Bytes
VirIT: Trojan.Win32.PSWStealer.BZO

IOC
:
1348d69b4999e692fabe0000980e2b26

PWStealer


Documento n.374.xls
MD5: d59311f959c3c236f46afec1a418cbbd
Dimensione: 568832 Bytes
VirITX97M.Downloader.BZO

IOC
:
d59311f959c3c236f46afec1a418cbbd

12 febbraio 2020

PWStealer



DHL_FORM7PDF.exe
MD5: c43f1d61ccdc3ed32ba84d4aa6a47b34
Dimensione: 2014208 Bytes
VirITTrojan.Win32.PSWStealer.BZP

IOC:
c43f1d61ccdc3ed32ba84d4aa6a47b34

PWStealer

  


TECKNOMEGA Non assistito PO gennaio 2020 #RFQ 001987.exe
MD5692c4823426ddea6f223e5a74b6de5e2
Dimensione: 1565696 Bytes
VirITTrojan.Win32.PSWStealer.BZP

IOC
:
692c4823426ddea6f223e5a74b6de5e2

Ursnif


scad.rif.fatture.n.0006057.xls.exe
MD522c511d585f9c208ad8f0cea46b107e5
Dimensione: 114688 Bytes
VirITX97M.Ursnif.BZP

(PAYLOAD URSNIF)
MD51d061dd455dd041380aff07d15dd6e11
Dimensione: 318464 Bytes
VirITTrojan.Win32.Ursnif.BZP

Versione: 214112
Gruppo: 2052
Key: 10291029JSJUXMPP

IOC
:
22c511d585f9c208ad8f0cea46b107e5
1d061dd455dd041380aff07d15dd6e11

p://hiteronak[.]icu/

PWStealer


Contabile conto corrente IT_PDF.exe
MD5: 0eaeffa65db422c0ae1b935a2a4b6295
Dimensione: 61440 Bytes
VirITTrojan.Win32.PSWStealer.BZP

IOC:
0eaeffa65db422c0ae1b935a2a4b6295

PWStealer


Documenti di pagamento.exe
MD5: c657cc5cad19c3c7d12e88e85ceaa819
Dimensione: 1561600 Bytes
VirIT: Trojan.Win32.PSWStealer.BZR

IOC:
c657cc5cad19c3c7d12e88e85ceaa819

Torna ad inizio pagina
 

13 febbraio 2020

HawkEye


veloce_20089001546008_02132020.exe
MD5: 645913ede573199f15633b0ec26bcfd0
Dimensione: 2385920 Bytes
VirITTrojan.Win32.PSWStealer.BZS

IOC:
645913ede573199f15633b0ec26bcfd0

PWStealer


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

pagamento.exe

MD5: 0a35bf943f24910ea7c93ae40b717f47
Dimensione: 596992 Bytes
VirITTrojan.Win32.PSWStealer.BZS

IOC:
0a35bf943f24910ea7c93ae40b717f47

PWStealer


Foglio delle quotazioni_RFQ#13022020.exe
MD5: 6aed49d747ce4b6a527801fb8be51deb
Dimensione: 1932800 Bytes
VirITTrojan.Win32.PSWStealer.BZS

IOC:
6aed49d747ce4b6a527801fb8be51deb

LokiBot


ELENCO delle citazioni-PDF_.exe
MD5: 0c82a6f943a8ebc12a665665effc401a
Dimensione: 250368 Bytes
VirITTrojan.Win32.PSWStealer.BZS

IOC:
0a35bf943f24910ea7c93ae40b717f47

p://matantalbenna[.]com
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php
Torna ad inizio pagina 
 


Consulta le campagne del mese di Gennaio/Febbraio

Vi invitiamo a consultare i report del mese di Gennaio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

01/02/2020 = Report settimanale delle campagne italiane di Malspam dal 01 febbraio al 07 febbraio 2020
25/01/2020 = Report settimanale delle campagne italiane di Malspam dal 25 gennaio al 31 gennaio 2020
18/01/2020 = Report settimanale delle campagne italiane di MalSpam dal 18 gennaio al 24 gennaio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: