12(火) 『写真添付』『写真送付の件』の調査

楽天市場をかたったばらまきに引き続き、xlsファイル添付するタイプの不審メールの配信を確認しました。

■日時
2018/6/26 17:30頃 - 18:00頃

■件名
写真添付
写真送付の件

■ダウンロードされるURLおよびマルウェア
 ダウンローダ型マルウェアのbeblohです。
hxxp://zeraum[.]com/headtop.gif
47.74.254[.]100
https://www.hybrid-analysis.com/sample/68cb615583672b5336e2b1082d7473c8e46154d4ea2d37a139617d2a427e5103?environmentId=110
ただし、今回はダウンロードできませんでした。少し接続できたタイミングはあったようですが、すぐにアクセスできなくなり、ダウンロードできませんでした。

■追加でダウンロードされるURLおよびマルウェア
今回は既にダウンロード先がアクセスできないため、先週のbeblohを実行し、以下を取得しました。不正送金マルウェアursnifです。
hxxp://taxiprivesek[.]cz/amd_st.exe

■C2
特段変わらずです。
○bebloh
hxxps://dbv4cc9rub[.]net
○ursnif
hxxps://vachiderk[.]com

■プロセスの動き
beblohは自身がexplorer.exeにインジェクションしていました。
ursnifは親のexplorer.exeにインジェクションしていました。

2018/06/12(火) 『【楽天市場】注文内容ご確認（自動配信メール）』の調査

6/7同様に、楽天市場を騙った不審メールの配布がありました。

■日時
2018/06/12 16:00頃 - 19:30頃
■件名
【楽天市場】注文内容ご確認（自動配信メール）

■送信者
order[@]rakuten.co.jp

■メール内リンクURL
ua.elpanal.com[.]uy
上記を例に、全て下記IPアドレスに解決されるドメイン
198.98.48[.]158

■ダウンロードされるファイル
メール内リンクにアクセスすると、ブラウザがChromeでアクセスしていれば以下のファイルがダウンロードされます。
（IEであればzipファイルがダウンロードされ、その中にjsファイルが含まれます。）
楽天銀行の重要な情報.pdf.js
https://www.hybrid-analysis.com/sample/3cd5240e10e1e8a7d5ff5a74fcbdcd41945df1387346426826cd519cd23d729d?environmentId=100

■追加ダウンロードファイル
jsファイルは以下へアクセスし、本体のマルウェアをダウンロードします。不正送金マルウェアursnifです。
hxxps://mm.unitedmfg[.]com/0.bin
198.98.48[.]158
https://www.hybrid-analysis.com/sample/9d55e7d8c83c70ea8c1e7ae17ef56380422dd73ecca008e3c65db0b5cf4e2d1f?environmentId=100

当日の楽天市場をかたったものと同一のハッシュの不審メールのバラマキがありました。

■日時
2018/06/07 17:20頃 - 20:20頃

■件名
【速報版】カード利用のお知らせ(本人ご利用分)

■送信者
info[@]mail.rakuten-card.co[.]jp

以下、楽天市場をかたったものと同一です。

■メール内リンク先URL
hxxp://lk.renoref[.]com
等、全て185.236.202[.]149に解決されるドメイン

本日よりhttpでアクセスした後httpsにリダイレクトされ、httpsからダウンロードするよう変わっています。

■C2
前日と同様で以下です。
hxxp://dwupg[.]icu
49.51.82[.]126
hxxp://ne.winzzer[.]com
176.9.164[.]253