13(水) 『請求書を送ります』『Fwd: 6月分請求書リスト』の調査

6/12に引き続き、6/13も添付ファイル付の不審メールの配信を確認しています。

■日時
2018/06/13(火) 16:25頃 - 17:30頃

■件名
請求書を送ります
Fwd: 6月分請求書リスト

■追加でダウンロードするURLおよびマルウェア
beblohを実行していると、更に以下の不正送金マルウェアursnif を取得します。
hxxp://wimkegravestein[.]nl/language/overrides/tv_pcdx[.]exe
https://www.hybrid-analysis.com/sample/7836911a246ded58a2f20d30d4a751d46784a3e41e9f66c408691f6c298e6afc?environmentId=100

■C2
先日から変化なしです。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com

2018/06/12(火) 『カード利用のお知らせ』の調査

楽天市場をかたったメールに引き続き、楽天カードをかたったメールの配信がありました。
また、翌日にも一時的に同一件名、同一検体ハッシュで配信がありました。
ともに、楽天市場をかたったメールと検体は一緒です。

■日時
2018/06/12(火) 16:35頃 - 19:35頃
2018/06/13(水) 12:40頃 - 13:10頃
※翌日も一時的に同一件名、同一検体ハッシュで配信がありました。

以下、楽天市場と同一です。
■メール内リンクURL
ua.elpanal.com[.]uy
上記を例に、全て下記IPアドレスに解決されるドメイン
198.98.48[.]158

■ダウンロードされるファイル
メール内リンクにアクセスすると、ブラウザがChromeでアクセスしていれば以下のファイルがダウンロードされます。
（IEであればzipファイルがダウンロードされ、その中にjsファイルが含まれます。）
楽天銀行の重要な情報.pdf.js
https://www.hybrid-analysis.com/sample/3cd5240e10e1e8a7d5ff5a74fcbdcd41945df1387346426826cd519cd23d729d?environmentId=100

■追加ダウンロードファイル
jsファイルは以下へアクセスし、本体のマルウェアをダウンロードします。不正送金マルウェアursnifです。
hxxps://mm.unitedmfg[.]com/0.bin
198.98.48[.]158
https://www.hybrid-analysis.com/sample/9d55e7d8c83c70ea8c1e7ae17ef56380422dd73ecca008e3c65db0b5cf4e2d1f?environmentId=100

楽天市場をかたったばらまきに引き続き、xlsファイル添付するタイプの不審メールの配信を確認しました。

■日時
2018/6/26 17:30頃 - 18:00頃

■件名
写真添付
写真送付の件

■ダウンロードされるURLおよびマルウェア
 ダウンローダ型マルウェアのbeblohです。
hxxp://zeraum[.]com/headtop.gif
47.74.254[.]100
https://www.hybrid-analysis.com/sample/68cb615583672b5336e2b1082d7473c8e46154d4ea2d37a139617d2a427e5103?environmentId=110
ただし、今回はダウンロードできませんでした。少し接続できたタイミングはあったようですが、すぐにアクセスできなくなり、ダウンロードできませんでした。

■追加でダウンロードされるURLおよびマルウェア
今回は既にダウンロード先がアクセスできないため、先週のbeblohを実行し、以下を取得しました。不正送金マルウェアursnifです。
hxxp://taxiprivesek[.]cz/amd_st.exe

■C2
特段変わらずです。
○bebloh
hxxps://dbv4cc9rub[.]net
○ursnif
hxxps://vachiderk[.]com

■プロセスの動き
beblohは自身がexplorer.exeにインジェクションしていました。
ursnifは親のexplorer.exeにインジェクションしていました。