Selected news item is not available in the requested language.

Italian language proposed.

Close

07/09/2020
10:35

2020W36 Report settimanale => 05-11/09 campagne MalSpam in Italia


Malware veicolati attraverso le campagne: AgentTesla, Remcos, MassLogger, QakBot, FormBook, Adwind
       
week36

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana appena trascorsa dal 05 settembre al 11 settembre 2020: Emotet, AgentTesla, Remcos, MassLogger, QakBot, FormBook, Adwind

INDICE

==> 05 settembre 2020 => AgentTesla(1)

==>
 08 settembre 2020 => AgentTesla(1), Remcos(1)

==> 
09 settembre 2020 => MassLogger(1), AgentTesla(1), QakBot(2),

==> 10 settembre 2020 => Adwind(1), FormBook(1)
             
==> Consulta le campagne del mese di Agosto


Nella settimana corrente vi è stato un calo delle campagne totali.
Ad esclusione di sabato non vi sono state campagne di malspam atte a distribuire il malware Emotet.
Continua l'assenza del trojan banker "Ursnif" e dell'attore Hagga.
Vi sono state però campagne del malware QakBot, oltre ai soliti vari Password Stealer come AgentTesla, MassLogger ed altri.
La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguardano le campagne scritte in italiano (con target Italia).
In questa settimana sono state 149 le campagne che abbiamo monitorato, di cui 9 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivsione dei periodi presi in considerazione:

Settimana
dal al
Week_33 15/08 21/08
Week_34 22/08 28/08
Week_35 29/08 04/09
Week_36 05/09 11/09


Nella settimana corrente il picco totale delle campagne è stato lunedì 07 settembre con 33 campagne a pari merito con giovedì 09 settembre dove troviamo anche il picco delle campagne rivolte agli utenti italiani con 4 messaggi, come è evidenziato dal grafico riportato di seguito.
In questa settimana il malware Emotet non ha effettuato nessuna campagna nell'arco della settimana lavorativa.



La grande maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 67,79% dei malware inviati via mail, seguito con il 14,09% di sample Delphi.
Il 10,74% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint), che scaricano altri malware.
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:



*Nella categoria JAR sono compresi i file JNLP

EMOTET


Durante la settimana monitorata le campagne malspam di Emotet sono state distribuite solo sabato 05/09.

Abbiamo raggruppato i DOC e domini delle varie campagne che hanno colpito gli utenti italiani. Le campagne Emotet per il loro conteggio non sono state determinate in base all'HASH del documento Word ma bensì raggruppate in cluster in base ai domini di download contenuti nella macro. Se calcolate in base al solo HASH il numero delle campagne sarebbe risultato molto più elevato.

In seguito vediamo un grafico del numero di HASH univoci degli allegati DOC monitorati nell'arco della settimana:



Come possiamo vedere dal grafico sopra riportato, le campagne di malspam che veicolano il malware Emotet si sono fermate a sabato 05/09, questo blocco è probabilmente da attribuirsi a quanto accaduto venerdì 04/09.

Venerdì 04/09 nel tardo pomeriggio per circa 3 ore i cyber-criminali che distribuisco il malware Emotet in tutto il mondo hanno, o per errore o per decisioni interne, unito la botnet numero tre alla botnet numero uno.

Dopo quanto accaduto per tutta la settimana il malware Emotet si è aggiornato molto di rado ed inoltre non è stata osservata l'attività di "spamming".

 
Scarica il file di testo degli IOC delle campagne Emotet.

05 settembre 2020

Emotet

Vedi il paragrafo principale sul malware Emotet all'inizio.


AgentTesla

 
 
inv_202027364.exe
MD5E05AE0F06FEBEC153ACFBF0156A687B8
Dimensione: 562688 Bytes
VirITTrojan.Win32.PSWStealer.CKQ

All'interno dell'archivio compresso "inv_202027364.rar" è presente il file "inv_202027364.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software: 

  • Firefox
  • Falkon
  • Icecat
  • Waterfox
  • SmartFTP
  • IceDragon
  • BlackHawk
  • Flock
  • K-Meleon
  • Cyberfox
  • Postbox
  • CoreFTP
  • UCBrowser
  • Pale Moon
  • FileZilla
  • SeaMonkey
  • Thunderbird
  • Outlook
La mail con le credenziali rubate viene inviata attraverso il server SMTP: aspen.nocdirect[.]com  -> 69.73.181[.]211 Porta: 587
La mail a cui vengono inviati i dati: <NOT DISCLOSED>@yandex[.]com

IOC:
E05AE0F06FEBEC153ACFBF0156A687B8
aspen.nocdirect[.]com 


Torna ad inizio pagina
 


08 settembre 2020


AgentTesla

 
 
001163792930818PDF.exe
MD56DD98B54BD8795A0F5AA1CABC6EF8469
Dimensione: 683520 Bytes
VirITTrojan.Win32.PSWStealer.CKS

All'interno dell'archivio compresso "001163792930818PDF.iso" è presente il file "001163792930818PDF.exe" infetto dal password stealer AgentTesla.

Ruba le credenziali memorizzate attraverso i seguenti software: 

  • Firefox
  • Falkon
  • Icecat
  • Waterfox
  • SmartFTP
  • IceDragon
  • BlackHawk
  • Flock
  • K-Meleon
  • Cyberfox
  • Postbox
  • CoreFTP
  • UCBrowser
  • Pale Moon
  • FileZilla
  • SeaMonkey
  • Thunderbird
  • Outlook
La mail con le credenziali rubate viene inviata attraverso il server SMTP: ftp.solarcenter[.]ro -> 188.212.156[.]20 Porta: 21

IOC:
6DD98B54BD8795A0F5AA1CABC6EF8469
ftp.solarcenter[.]ro


Remcos

 
 
Il nostro ordine REVISED #459853,pdf.exe
MD5765BE92A366CB3A8692628ABCD911945
Dimensione: 415232 Bytes
VirITTrojan.Win32.PSWStealer.CKT

All'interno dell'archivio compresso "Il nostro ordine REVISED #459853,pdf.zip" è presente il file "Il nostro ordine REVISED #459853,pdf.exe" infetto dal password stealer Remcos.

IOC:
765BE92A366CB3A8692628ABCD911945
elizabethmega.hopto[.]org 
185.244.30[.]181
 
 
 

09 settembre 2020


MassLogger

  
FedEx TRACCIAMENTO-pdf.exe.vir
MD54615B2ABF03878228A4A1D2DBD743A8D
Dimensione: 1231360 Bytes
VirITTrojan.Win32.PSWStealer.CKU

All'interno dell'archivio compresso "FedEx TRACCIAMENTO-pdf.7z" è presente il file "FedEx TRACCIAMENTO-pdf.exe" infetto dal password stealer MassLogger.

La mail con le credenziali rubate viene inviata attraverso il server FTP: ftp://ftp.ayudasaudiovisuales[.]co -> 98.142.108[.]42 Porta: 21

IOC:
4615B2ABF03878228A4A1D2DBD743A8D
ftp://ftp.ayudasaudiovisuales[.]co


AgentTesla

  
0011637929073792PDF.exe
MD5CBB2E012F2324D25EC2DD8921A4CD4D1
Dimensione: 988160 Bytes
VirITTrojan.Win32.PSWStealer.CKU

All'interno dell'archivio compresso "0011637929073792PDF.iso" è presente il file "0011637929073792PDF.exe" infetto dal password stealer AgentTesla.

La mail con le credenziali rubate viene inviata attraverso il server FTP: ftp.solarcenter[.]ro  -> 188.212.156[.]20 Porta: 21

IOC:
CBB2E012F2324D25EC2DD8921A4CD4D1
ftp.solarcenter[.]ro


QakBot

  
Complaint_Letter_822028963_09072020.doc
MD5E6DC4037D4C60CEA3E3966A2912AB6B6
Dimensione: 439808 Bytes
VirITW97M.Downloader.CKU

Lomurs.exe
MD59609F9E0916F4CEA840074E8CAB75945
Dimensione: 6010336 Bytes
VirITTrojan.Win32.QakBot.CKV

All'interno dell'archivio compresso "Complaint_Letter_822028963_09072020.zip" è presente il file "Complaint_Letter_822028963_09072020.doc" che è un documento Word con una macro al suo interno. Una volta eseguita la macro, viene scaricato il payload del malware QakBot attraverso l'utilizzo di un comando PowerShell.

IOC:
E6DC4037D4C60CEA3E3966A2912AB6B6
9609F9E0916F4CEA840074E8CAB75945
p://talantinua[.[com/apawn/55555555.png
p://dellenbene[.]de/wpfsjfcrp/55555555.png
p://www.pauwstoffering[.]nl/pqwwmqzgjot/55555555.png
p://acrinetshop.com[.]br/arnphkv/55555555.png
p://www.corbettasalvatore[.]com/bolcv/55555555.png
p://lojacorpoemente.com[.]br/beuefuqpd/55555555.png
p://sulduzkhabar[.]ir/fhrhowc/55555555.png
p://hillsborobookkeeping[.]com/yowyvoux/55555555.png
p://evutt[.]ee/imjzrilmu/55555555.png
p://anawabighschool[.]com/lipun/55555555.png
p://www.serramentispada[.]it/odisaehjgg/55555555.png
p://papadeilumi[.]it/kupmmngtbbn/55555555.png
p://www.crippacostruzioni[.]it/jnatzwzp/55555555.png
p://emulatorgame[.]ir/ocdxvkhvmtjx/55555555.png

QakBot

  
Complaint_Letter_960143635_09072020.doc
MD51E0BC7EC725F9E45E85D073E4C0C0426
Dimensione: 439808 Bytes
VirIT: W97M.Downloader.CKU

Lomurs.exe
MD53CB42DE44F2658CA01532C6F926DAA92
Dimensione: 6010304 Bytes
VirITTrojan.Win32.QakBot.CKV

All'interno dell'archivio compresso "Complaint_Letter_960143635_09072020.zip" è presente il file "Complaint_Letter_960143635_09072020.doc" che è un documento Word con una macro al suo interno. Una volta eseguita la macro, viene scaricato il payload del malware QakBot attraverso l'utilizzo di un comando PowerShell.


IOC:
1E0BC7EC725F9E45E85D073E4C0C0426
3CB42DE44F2658CA01532C6F926DAA92

p://talantinua[.[com/apawn/55555555.png
p://dellenbene[.]de/wpfsjfcrp/55555555.png
p://www.pauwstoffering[.]nl/pqwwmqzgjot/55555555.png
p://acrinetshop.com[.]br/arnphkv/55555555.png
p://www.corbettasalvatore[.]com/bolcv/55555555.png
p://lojacorpoemente.com[.]br/beuefuqpd/55555555.png
p://sulduzkhabar[.]ir/fhrhowc/55555555.png
p://hillsborobookkeeping[.]com/yowyvoux/55555555.png
p://evutt[.]ee/imjzrilmu/55555555.png
p://anawabighschool[.]com/lipun/55555555.png
p://www.serramentispada[.]it/odisaehjgg/55555555.png
p://papadeilumi[.]it/kupmmngtbbn/55555555.png
p://www.crippacostruzioni[.]it/jnatzwzp/55555555.png
p://emulatorgame[.]ir/ocdxvkhvmtjx/55555555.png
 

10 settembre 2020


Adwind

  
OrderSupply192020.jar
MD5E872F6295DCE3DCBDB92102A381F0A38
Dimensione: 633637 Bytes
VirIT: Trojan.Java.Adwind.CKX

All'interno dell'archivio compresso "OrderSupply192020.zip" è presente il file "OrderSupply192020.jar" infetto dal password stealer Adwind.

IOC:
E872F6295DCE3DCBDB92102A381F0A38
jbd22.linkpc[.]net
 

FormBook

  
nuovo ordine.exe
MD5530D878EC44087AD5A093AB63FDC83E9
Dimensione: 819402 Bytes
VirIT: Trojan.Win32.PSWStealer.CKX

All'interno dell'archivio compresso "07-20-2020_06-59-10-PM.zip" è presente il file "nuovo ordine.exe" infetto dal password stealer FormBook.

IOC:
530D878EC44087AD5A093AB63FDC83E9
joomlas123[.]info

 
 

Consulta le campagne del mese di Agosto

Vi invitiamo a consultare i report del mese di Agosto, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:
29/08/2020 = Report settimanale delle campagne italiane di Malspam dal 29 agosto al 04 settembre 2020
22/08/2020 = Report settimanale delle campagne italiane di Malspam dal 22 agosto al 28 agosto 2020
15/08/2020 = Report settimanale delle campagne italiane di MalSpam dal 15 agosto al 21 agosto 2020
08/08/2020 = Report settimanale delle campagne italiane di MalSpam dal 08 agosto al 14 agosto 2020

C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: