Selected news item is not available in the requested language.

Italian language proposed.

Close

24/08/2020
09:12

2020W34 Report settimanale => 22-28/08 campagne MalSpam in Italia

Malware veicolati attraverso le campagne: Emotet, Ursnif, LokiBot, AgentTesla, Downloader, FormBook, NanoCore, Adwind, QakBot
       
week34

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 22 agosto al 28 agosto 2020: Emotet, Ursnif, LokiBot, AgentTesla, Downloader, FormBook, NanoCore, Adwind, QakBot

INDICE

==> 24 agosto 2020 => Emotet(3)

==> 25 agosto 2020 => Emotet(12), Downloader(1)

==> 26 agosto 2020 => Emotet(10), Ursnif(1), LokiBot(1), AgentTesla(1). FormBook(1)

==> 27 agosto 2020 => Emotet(11), AgentTesla(1), NanoCore(1), Adwind(1), FormBook(1), QakBot(1)

==> 28 agosto 2020 => Emotet(10)
              
==> Consulta le campagne del mese di Luglio/Agosto

Nella settimana corrente vi è stato un aumento delle campagne totali.
Sono continuate in maniera massiva le campagne atte a distribuire il malware Emotet.
Persiste anche il trojan banker "Ursnif".
Vi è anche una campagna riguardate il malware QakBot che viene distribuito anche con il malware Emotet.
La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 183 le campagne che abbiamo monitorato, di cui 63 sono scritte in lingua italiana, un notevole incremento rispetto alla settimana scorsa.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
 dal al
Week_31 01/08 07/08
Week_32 08/08 14/08
Week_33 15/08 21/08
Week_34 22/08 28/08


Nella settimana corrente il picco totale delle campagne è stato giovedì 27 con 45 campagne di cui 17 con messaggi rivolti direttamente ad utenti italiani, come è evidenziato dal grafico riportato di seguito.
Sia il giorno mercoledì 26 che giovedì 27 si è rilevato il maggior picco di invii mirati all'utenza italiana, con 17 differenti campagne, grazie principalmente alla distribuzione del malware Emotet.



La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 51,91% dei malware inviati via mail, seguito con il 13,11% di sample Delphi.
Il 30,6% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware, rappresentati in gran parte dalle campagne Emotet.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:



*Nella categoria JAR sono compresi i file JNLP

EMOTET


Durante la settimana monitorata le campagne malspam di Emotet sono state distribuite dal lunedì 24 a venerdì 28 in varie fasce orarie in maniera massiva.

Di seguito vediamo un esempio di email del 26 agosto:


Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana:



Il maggiore picco di HASH univoci rilevati è stato giovedì 27 con 94 hash seguito a distanza da martedì 25 con 86 hash.

Il Trojan Emotet scarica come follow-up il malware QakBot.
 
Scarica il file di testo degli IOC delle campagne Emotet.

24 agosto 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 

 


Torna ad inizio pagina
 

25 agosto 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


Downloader


Fattura738-WP-92-2020.xls
MD5DAE21FA1BA3518C0E8C601B5D4447A92
Dimensione: 71680 Bytes
VirITX97M.Downloader.CJY
IOC:
DAE21FA1BA3518C0E8C601B5D4447A92
p://51.255.155[.]2
 
Torna ad inizio pagina
  

26 agosto 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


LokiBot

  
numero d'ordine. PO1-0630018 Riferimento Taiwan RRD Thailandia.exe
MD5: C0392E6758864172CAC4DB368DDD358C
Dimensione: 935424 Bytes
VirITTrojan.Win32.LokiBot.CKA

All'interno dell'archivio compresso "numero d'ordine. PO1-0630018 Riferimento Taiwan RRD Thailandia.gz" è presente il file "numero d'ordine. PO1-0630018 Riferimento Taiwan RRD Thailandia.exe" infetto dal password stealer LokiBot.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook
  • FlashFXP
  • FreshFTP
  • FTPGetter
  • FTP Navigator
  • DeluxeFTP
  • GoFTP
  • JaSFtp
  • NetDrive
  • NovaFTP
  • NppFTP
  • Odin Secure FTP
  • SecureFX
  • SftpNetDrive
  • Staff-FTP
  • SuperPutty
  • UltraFXP
  • NetSarang
 
IOC:
c0392e6758864172cac4db368ddd358c
thernagictouch[.]com


AgentTesla

  
Ordine fornitore n.921 Pa.exe
MD5: 9A3C7500AD21DAA00EC3DF5B7DBB8A3C
Dimensione: 695808 Bytes
VirITTrojan.Win32.LokiBot.CKA

All'interno dell'archivio compresso "Ordine fornitore n.921 Pa.ace" è presente il file "Ordine fornitore n.921 Pa.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: 220 sas8-b61c542d7279.qloud-c.yandex[.]net -> 77.88.21.158 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

IOC:
b2e266d1ed89e27fab0ac959b854d8e6

Ursnif

  
inps_337.xls
MD5: 08D14AB073DE0413FFF4589EB1EA31ED
Dimensione: 236544 Bytes
VirITX97M.Ursnif.CKA

[ PAYLOAD URSNIF ]
MD5: CC400A0F39E5FF7E6FA3A3901FEF0566
Dimensione: 283136 Bytes
VirITTrojan.Win32.Ursnif.CKA
Versione: 250154
Gruppo: 7123
Key: 10291029JSJUYNHG

IOC:
08D14AB073DE0413FFF4589EB1EA31ED
CC400A0F39E5FF7E6FA3A3901FEF0566
p://web.coryriley[.]com
p://gstat.kangweid[.]com

FormBook


nuovo ordine.exe
MD5203F52C19D874BB4206677F8075C7677
Dimensione: 678400 Bytes
VirITTrojan.Win32.PSWStealer.CKA

All'interno dell'archivio compresso "nuovo ordine.zip" è presente il file "nuovo ordine.exe" infetto dal password stealer FormBook.

IOC:
203F52C19D874BB4206677F8075C7677
savetheverse[.]com
 
 
 

27 agosto 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 


  
Info.doc
MD5: 43D2E84DBE6BFC97BC70F97992601E01
Dimensione: 222614 Bytes
VirITW97M.Emotet.CKC

All'interno dell'archivio compresso "Info.doc.zip" è presente il file "Info.doc" infetto dal password stealer Emotet.

IOC:
43D2E84DBE6BFC97BC70F97992601E01
zenithenergy[.]com
vietnamv1[.]com
s://tunicip[.]com
mjplantbased[.]com
tamymakeup[.]com
ucmasabacusnagpurandchattisgarh[.]com
s://gapuragamapersada[.]com

AgentTesla

  
Invio prova di pagamento 08.27.20.exe
MD5: FB792CA866E26F75047630DE115069B7
Dimensione: 602624 Bytes
VirITTrojan.Win32.AgentTesla.CKC

All'interno dell'archivio compresso "Invio prova di pagamento 08.27.20.7z" è presente il file "Invio prova di pagamento 08.27.20.exe" infetto dal password stealer AgentTesla.
Ruba le credenziali memorizzate attraverso i seguenti software:
  • Opera
  • SmartFTP
  • Chrome
  • UCBrowser
  • Firefox
  • Icecat
  • FileZilla
  • Waterfox
  • Postbox
  • BlackHawk
  • CoreFTP
  • IceDragon
  • FTP Navigator
  • Pale Moon
  • Cyberfox
  • Falkon
  • Thunderbird
  • Flock
  • K-Meleon
  • SeaMonkey
  • IncrediMail
  • Outlook

La mail con le credenziali rubate viene inviata attraverso il server smtp: 220-server.fbrandao[.]com  -> 138.128.171[.]170 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@mlibano.com[.]br

IOC:
FB792CA866E26F75047630DE115069B7

NanoCore

  
Poste Italiane Copia ricevuta stampata.exe
MD5: ECB28E46E2E27564A883F5211BFE27EF
Dimensione: 788992 Bytes
VirITTrojan.Win32.PSWStealer.CKE

All'interno dell'archivio compresso "Poste Italiane Copia ricevuta stampata.r11" è presente il file "Poste Italiane Copia ricevuta stampata.exe" infetto dal password stealer NanoCore.

IOC:
ECB28E46E2E27564A883F5211BFE27EF
185.84.181[.]67 

Adwind

  
NOTIFICA DI ARRIVO DHL_PDF.jar
MD5: C8C1C50E6DF45C35EE0D37B7FA4E79B8
Dimensione: 421085 Bytes
VirITTrojan.Java.Adwind.CKC
IOC:
C8C1C50E6DF45C35EE0D37B7FA4E79B8
abc77.linkpc[.]net

FormBook

  
Fiwviss_Signed_.exe
MD5: 01A6B23B0271E06F8C214C42278A894E
Dimensione: 1162394 Bytes
VirITTrojan.Win32.PSWStealer.CKD

All'interno dell'archivio compresso "products.zip" è presente il file "Fiwviss_Signed_.exe" infetto dal password stealer FormBook.

IOC:
01A6B23B0271E06F8C214C42278A894E
gaziantepulucanlarasm[.]com

QakBot

  
Complaint_Copy_1581631782.doc
MD5: C1955A0EA54214C5536FDA33304F2A39
Dimensione: 77383 Bytes
VirITW97M.QakBot.CKD

fiohcy.exe
MD5FCE76833DB3B2A9E65335C4318B9D756
Dimensione: 2081256 Bytes
VirITTrojan.Win32.QakBot.CKD

All'interno dell'archivio compresso "Complaint_Copy_1581631782.zip" è presente il file "Complaint_Copy_1581631782.doc" che è un documento Word con una macro al suo interno, una volta eseguita la macro, viene avviato un PowerShell che effetua il collegamento a uno dei siti riportati più giù, scaricando il payload del QakBot.

IOC:
C1955A0EA54214C5536FDA33304F2A39
FCE76833DB3B2A9E65335C4318B9D756
p://www.huanuoav[.]com/otadftp/555555555.png
p://momglamour[.]com/uufplzby/555555555.png
p://merryjumbomart[.]com/pzsitziqbw/555555555.png
p://bookmyrakhi[.]com/rjkhufudqic/555555555.png
p://calicloudx[.]com/ynildr/555555555.png
p://henrys-stores[.]com/yqrgfhvwf/555555555.png
p://henrys-ladders[.]com/zcxreyu/555555555.png
p://ozcanelektronik[.]com.tr/gjtqxerwdyzd/555555555.png'
p://www.andreuccettiart[.]it/elzoorbonw/555555555.png'
p://quuuksh[.]com/wiaffpxgimw/555555555.png
 

28 agosto 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio. 

 


Consulta le campagne del mese di Luglio/Agosto

Vi invitiamo a consultare i report del mese di Luglio/Agosto, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

15/08/2020 = Report settimanale delle campagne italiane di Malspam dal 15 agosto al 21 agosto 2020
08/08/2020 = Report settimanale delle campagne italiane di Malspam dal 08 agosto al 14 agosto 2020
01/08/2020 = Report settimanale delle campagne italiane di MalSpam dal 01 agosto al 07 agosto 2020
25/07/2020 = Report settimanale delle campagne italiane di MalSpam dal 25 luglio al 31 luglio 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: