Analisi tecnica del Malware Hunter JAMESWT

Ostap prende di mira l’Italia con una campagna del cybercrime legata a falsi bonifici e fatture. La catena d’infezione parte da un allegato Word o XLS con macro. Una volta chiuso, uno script contatta il C2 per scaricare altri malware e recuperare il payload finale

Ostap prende di mira l’Italia con una campagna del cybercrime legata a falsi bonifici e fatture. Nelle ultime ore stanno circolando email fake provenienti da aziende vere su una presunta ricevuta di versamento a favore della potenziale vittima, come confermano anche gli esperti di cybersecurity di TG Soft. Obiettivo: far sì che apra l’allegato, un documento Word o Excel, il quale contiene al suo interno delle macro, che si attivano solo quando l’utente chiude il file. Se ciò si verifica, viene lanciato uno script che contatta il server C2 per scaricare altri malware e recuperare il payload finale. Ostap, infatti, è diventato molto noto negli ultimi anni come vettore di distribuzione di trojan bancari e nel tempo si è trasformato anche in una botnet.

Il testo della mail-trappola

C2 Relation

Gli Indicatori di Compromissione (IoC)

DOC

MD5

1ac591d68489e5a0d5a2eec131b81a8c

8e5aacbc0e4ff084a0193ba315167f2b

c8719625163f8b2c1a5989f0c7be15e9

4bc73cd484291f7918bd7a792517c003

35fb2f1b7db7395a7174d872c4952ac3

6c08c1019eba95952e5771f71204ebe9

b438c4cb55b41712e38324c2bc8d4b15

24c5385748073e24b2f7aee6c26ba3b4

XLS

MD5

8584178b387d7dfe4d8e75e13161348a

VBE

MD5

823621d08a6e1d56f49d849cc55852a7

JS

MD5

9e4a5826a1a1cf37b3027322a8e74486

Ostap Downloader

MD5

3720523ef42644b37bc895d47b1a5850

71cf2e83c2b2a6dcacb5c4de2aeb6f31

C2

188.116.36[.143