PWStealer
Requisiti.exe
MD5: ef5c6d67fb321f6d59ac926f3766d2f1
Dimensione: 1699328 Bytes
VirIT:
Trojan.Win32.PSWStealer.BZW
IOC:
ef5c6d67fb321f6d59ac926f3766d2f1
PWStealer
Foglio delle quotazioni_RFQ#17022020.exe
MD5: 04da07ae32266df1a90bd3b2326c5b18
Dimensione: 569344 Bytes
VirIT:
Trojan.Win32.PSWStealer.BZW
IOC:
04da07ae32266df1a90bd3b2326c5b18
PWStealer
copy.exe
MD5: 658a35c081d90b727c869ae7e170689b
Dimensione: 663552 Bytes
VirIT: Trojan.Win32.PSWStealer.BZW
IOC:
04da07ae32266df1a90bd3b2326c5b18
Ursnif-Dharma
Questa campagna si è contraddistinta per una particolarità: se lo script scaricato dal link contenuto nella mail veniva eseguito prima delle 8.40 circa del 18/02/2020 il payload scaricato era quello del Trojan Banker Ursnif, mentre successivamente è stato sostituito con il CryptoMalware noto come Dharma
Nuovo documento 2.vbs
MD5: 834f9f8690b3a21d51088a2fd1b04344
Dimensione: 5314200 Bytes
VirIT:
Trojan.VBS.Dwnldr.CU
[Payload Ursnif]
TableOfColors.exe
MD5: 9e6d2554657b486d8f7e1656efc0d9f9
Dimensione: 173064 Bytes
VirIT:
Trojan.Win32.Ursnif.BZY
Versione: 300848 |
Gruppo: 20208481 |
Key: 4PCkN7MmyihM2Rrs |
[Payload Dharma]
TableOfColors.exe
MD5: a8c0a5e01708f85055c173af3a5734c0
Dimensione: 273920 Bytes
VirIT: Trojan.Win32.CryptDharma.BZY
IOC:
834f9f8690b3a21d51088a2fd1b04344
9e6d2554657b486d8f7e1656efc0d9f9
a8c0a5e01708f85055c173af3a5734c0
s://dungdoptiop[.]xyz
p://tohomeroom[.]com
p://banksesiqueira[.]xyz
p://mengather[.]com/
Adwind
Castellino 28.2.2020_Ordine e offri.jar
MD5: ccdeb2f4a42bd1d3a794b4890842fda6
Dimensione: 385067 Bytes
VirIT:
Trojan.Java.Adwind.BZZ
IOC:
ccdeb2f4a42bd1d3a794b4890842fda6
Ursnif
Nuovo documento 2.vbs
MD5: 30cc5ffeca284c31ed7cf8f1b8f8fef5
Dimensione: 5126996 Bytes
VirIT:
Trojan.VBS.Dwnldr.CV
TableOfColors.exe
MD5: 31cf10937f9f8533adfc6278b6475174
Dimensione: 152584 Bytes
VirIT:
Trojan.Win32.Ursnif.CAA
Versione: 300848 |
Gruppo: 20208481 |
Key: bL1jgCNKcrcYfYFF |
IOC:
30cc5ffeca284c31ed7cf8f1b8f8fef5
31cf10937f9f8533adfc6278b6475174
p://businessknowledgetransfer[.]com
s://mandyenando[.]xyz
p://stilthousebeer[.]xyz
LokiBot
Contabile conto corrente1 _PDF.exe
MD5: 81fda89b4c4c9f1797be6ea42c4b5c8f
Dimensione: 53248 Bytes
VirIT: Trojan.Win32.PSWStealer.CAA
IOC:
81fda89b4c4c9f1797be6ea42c4b5c8f
p://febspxiii[.]xyz
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php
PWStealer
FATTURA PROFORMA.exe
MD5: 48f7d52316e72063e0e776e1b4041fdc
Dimensione: 53248 Bytes
VirIT: Trojan.Win32.PSWStealer.CAB
IOC:
48f7d52316e72063e0e776e1b4041fdc
PWStealer
SWIFT33938.exe
MD5: f0e1333e0c397acaae9401b5f8cdcbe2
Dimensione: 49152 Bytes
VirIT:
Trojan.Win32.PSWStealer.CAC
IOC:
f0e1333e0c397acaae9401b5f8cdcbe2
LokiBot
Contabile conto corrente1 _PDF.exe
MD5: 933155de14e6e038f14ee2cb52797bc7
Dimensione: 49152 Bytes
VirIT:
Trojan.Win32.PSWStealer.CAC
IOC:
933155de14e6e038f14ee2cb52797bc7
p://febspxiii[.]xyz
p://alphastand[.]trade/alien/fre.php
p://kbfvzoboss[.]bid/alien/fre.php
PWStealer
payment634675867877.exe
MD5: 7ea91089f91fa6d371f19023d60fda32
Dimensione: 49152 Bytes
VirIT:
Trojan.Win32.PSWStealer.CAC
IOC:
7ea91089f91fa6d371f19023d60fda32
HawkEye
Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
- WebBrowserPassView
- Mail PassView
PAYMENT_SLIP_2122020_Doc_CHINA.exe
MD5: 63a3ffb64a36b2a27382bf98a953f915
Dimensione: 2155520 Bytes
VirIT:
Trojan.Win32.PSWStealer.CAD
IOC:
63a3ffb64a36b2a27382bf98a953f915
p://pomf[.]cat
s://a.pomf[.]cat
HawkEye
Il malware sfrutta i seguenti tool prodotti da NirSoft per l'esfiltrazione dei dati dal computer della vittima:
- WebBrowserPassView
- Mail PassView
Fattura di pagamento.exe
MD5: 681caca817b5a71c55f6fc81fc4946c1
Dimensione: 635392 Bytes
VirIT:
Trojan.Win32.PSWStealer.CAE
IOC:
681caca817b5a71c55f6fc81fc4946c1
Consulta le campagne del mese di Gennaio/Febbraio
Vi invitiamo a consultare i report del mese di Gennaio/Febbraio, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
01/02/2020 =
Report settimanale delle campagne italiane di Malspam dal 01 febbraio al 07 febbraio 2020
25/01/2020 =
Report settimanale delle campagne italiane di MalSpam dal 25 gennaio al 31 gennaio 2020
C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft