18/02/2020
09:17

2020W07 Report settimanale= > 15-21/02 2K20 campagne MalSpam target Italia


Malware veicolati attraverso le campagne: Ursnif, Dharma, LokiBot, HawkEye, Adwind, PWStealer
       
week06

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 15 febbraio 2020 al 21 febbraio 2020:

INDICE

==> 17 febbraio 2020 => PWStealer
 
==> 18 febbraio 2020 => Ursnif, Dharma, Adwind

==>
 19 febbraio 2020 => Ursnif, LokiBot, PWStealer

==> 
20 febbraio 2020 => LokiBot, PWStealer

==> 21 febbraio 2020 => HawkEye
 

==> Consulta le campagne del mese di Gennaio/Febbraio



17 febbraio 2020

PWStealer


Requisiti.exe

MD5: ef5c6d67fb321f6d59ac926f3766d2f1
Dimensione: 1699328 Bytes
VirIT: Trojan.Win32.PSWStealer.BZW

IOC:
ef5c6d67fb321f6d59ac926f3766d2f1

PWStealer


Foglio delle quotazioni_RFQ#17022020.exe

MD5: 04da07ae32266df1a90bd3b2326c5b18
Dimensione: 569344 Bytes
VirIT: Trojan.Win32.PSWStealer.BZW

IOC:
04da07ae32266df1a90bd3b2326c5b18

PWStealer


copy.exe

MD5: 658a35c081d90b727c869ae7e170689b
Dimensione: 663552 Bytes
VirITTrojan.Win32.PSWStealer.BZW

IOC:
04da07ae32266df1a90bd3b2326c5b18


Torna ad inizio pagina
 

18 febbraio 2020

Ursnif-Dharma


Questa campagna si è contraddistinta per una particolarità: se lo script scaricato dal link contenuto nella mail veniva eseguito prima delle 8.40 circa del 18/02/2020 il payload scaricato era quello del Trojan Banker Ursnif, mentre successivamente è stato sostituito con il CryptoMalware noto come Dharma

Nuovo documento 2.vbs
MD5: 834f9f8690b3a21d51088a2fd1b04344
Dimensione: 5314200 Bytes
VirITTrojan.VBS.Dwnldr.CU

[Payload Ursnif]
TableOfColors.exe
MD5: 9e6d2554657b486d8f7e1656efc0d9f9
Dimensione: 173064 Bytes
VirITTrojan.Win32.Ursnif.BZY

Versione: 300848
Gruppo: 20208481
Key: 4PCkN7MmyihM2Rrs

[Payload Dharma]
TableOfColors.exe

MD5: a8c0a5e01708f85055c173af3a5734c0
Dimensione: 273920 Bytes
VirITTrojan.Win32.CryptDharma.BZY




IOC
:
834f9f8690b3a21d51088a2fd1b04344
9e6d2554657b486d8f7e1656efc0d9f9
a8c0a5e01708f85055c173af3a5734c0

s://dungdoptiop[.]xyz
p://tohomeroom[.]com
p://banksesiqueira[.]xyz 
p://mengather[.]com/

Adwind



Castellino 28.2.2020_Ordine e offri.jar
MD5: ccdeb2f4a42bd1d3a794b4890842fda6
Dimensione: 385067 Bytes
VirITTrojan.Java.Adwind.BZZ

IOC
:
ccdeb2f4a42bd1d3a794b4890842fda6
 
addahost.ddns.net
Torna ad inizio pagina
 
 

19 febbraio 2020

Ursnif



Nuovo documento 2.vbs
MD5: 30cc5ffeca284c31ed7cf8f1b8f8fef5
Dimensione: 5126996 Bytes
VirITTrojan.VBS.Dwnldr.CV

TableOfColors.exe
MD5: 31cf10937f9f8533adfc6278b6475174
Dimensione: 152584 Bytes
VirITTrojan.Win32.Ursnif.CAA

Versione: 300848
Gruppo: 20208481
Key: bL1jgCNKcrcYfYFF

IOC:
30cc5ffeca284c31ed7cf8f1b8f8fef5
31cf10937f9f8533adfc6278b6475174

p://businessknowledgetransfer[.]com
s://mandyenando[.]xyz
p://stilthousebeer[.]xyz

LokiBot

  


Contabile conto corrente1 _PDF.exe
MD581fda89b4c4c9f1797be6ea42c4b5c8f
Dimensione: 53248 Bytes
VirITTrojan.Win32.PSWStealer.CAA

IOC
:
81fda89b4c4c9f1797be6ea42c4b5c8f

p://febspxiii[.]xyz
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php 

PWStealer


FATTURA PROFORMA.exe
MD548f7d52316e72063e0e776e1b4041fdc
Dimensione: 53248 Bytes
VirITTrojan.Win32.PSWStealer.CAB

IOC:
48f7d52316e72063e0e776e1b4041fdc
 

Torna ad inizio pagina

20 febbraio 2020

PWStealer


SWIFT33938.exe
MD5: f0e1333e0c397acaae9401b5f8cdcbe2
Dimensione: 49152 Bytes
VirITTrojan.Win32.PSWStealer.CAC

IOC:
f0e1333e0c397acaae9401b5f8cdcbe2

LokiBot



Contabile conto corrente1 _PDF.exe

MD5: 933155de14e6e038f14ee2cb52797bc7
Dimensione: 49152 Bytes
VirITTrojan.Win32.PSWStealer.CAC

IOC:
933155de14e6e038f14ee2cb52797bc7

p://febspxiii[.]xyz
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php

PWStealer


payment634675867877.exe
MD5: 7ea91089f91fa6d371f19023d60fda32
Dimensione: 49152 Bytes
VirITTrojan.Win32.PSWStealer.CAC

IOC:
7ea91089f91fa6d371f19023d60fda32

21 febbraio 2020

HawkEye


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

PAYMENT_SLIP_2122020_Doc_CHINA.exe

MD5: 63a3ffb64a36b2a27382bf98a953f915
Dimensione: 2155520 Bytes
VirITTrojan.Win32.PSWStealer.CAD

IOC:
63a3ffb64a36b2a27382bf98a953f915

p://pomf[.]cat
s://a.pomf[.]cat

HawkEye


Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
  • WebBrowserPassView
  • Mail PassView

Fattura di pagamento.exe

MD5: 681caca817b5a71c55f6fc81fc4946c1
Dimensione: 635392 Bytes
VirITTrojan.Win32.PSWStealer.CAE

IOC:
681caca817b5a71c55f6fc81fc4946c1
 
Torna ad inizio pagina 
 


Consulta le campagne del mese di Gennaio/Febbraio

Vi invitiamo a consultare i report del mese di Gennaio/Febbraio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

08/02/2020 = Report settimanale delle campagne italiane di Malspam dal 08 febbraio al 14 febbraio 2020
01/02/2020 = Report settimanale delle campagne italiane di Malspam dal 01 febbraio al 07 febbraio 2020
25/01/2020 = Report settimanale delle campagne italiane di MalSpam dal 25 gennaio al 31 gennaio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: