29(金) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

楽天をかたったメールで、メール内リンクから不正送金マルウェアursnifへの感染を狙ったばらまきメールがありました。

■日時
2018/6/29

■件名
【速報版】カード利用のお知らせ(本人ご利用分)

■差出人
info[@]mail.rakuten-card.co.jp

■メール本文内のリンク
（例）他のリンクも同じIPに解決する
hxxp://fj.gueyprotein.com/
IP: 45.125.65[.]69

■ダウンロードファイル
メールをクリックすると以下のファイルがダウンロードされます。
もっと詳しくの情報はこちら.pdf.js
このファイルを実行しない限り、マルウェアに感染することはありません。

■二次ダウンロードファイル（ursnif）
hxxps://fj.gueyprotein[.]com/200.bin
IP: 45.125.65[.]69
https://www.hybrid-analysis.com/sample/8ad7ac0ffd6f3daeaefcda542a0cea93bf30f2855135965324b151a2c1a794ed

2018/06/28(木) 『写真』『スナップ写真』『写真添付』『写真送ります。』『写真送付の件』『添付写真あり』の調査

様々な件名でエクセルファイルが添付された不審メールがばらまかれていました。添付ファイルを実行すると不正送金マルウェアursnifに感染します。

■日時
2018/06/28（木）15:20頃～

■件名
スナップ写真
写真
写真添付
写真送ります。
写真送付の件
添付写真あり

■ダウンロードファイル（bebloh）
添付ファイルを開きマクロを有効化すると以下のマルウェアがダウンロード・実行されます。ダウンローダ型マルウェアです。
hxxp://monde[.]at/realst
IP: 47.74.148[.]105
https://www.hybrid-analysis.com/sample/8df2efce13a873cfde5a424b0d1c9bdc21056840644d8ee53fb843bfc6a9995e?environmentId=100
C2: hxxps://bdv4cc9rub[.]com

■二次ダウンロードファイル（ursnif）
上記ファイルを実行後、10分前後するとC2サーバへアクセス後、以下のマルウェアをダウンロード・実行されます。不正送金マルウェアursnifです。
hxxp://hispavila[.]com/total/privado/estyle.exe
https://www.hybrid-analysis.com/sample/6ffdb0dfa15d69f36c9efbfcd37b3ec2573d9199f9118b69254dfe3a336d414a/5b34ac847ca3e15d136d220c
C2: hxxps://vachiderk[.]com

楽天をかたった不審メールで、メール内リンクからダウンロードされるファイルを実行すると、不正送金マルウェアに感染します。
インジケータ等のみを記載シておきます。

■日時
2018/06/26 16:25 -

■件名
【楽天カード】カードご請求金額のご案内

■送信者
info[@]mail.rakuten-card.co[.]jp

■メール内リンク
（例）
hxxp://qa.thelovechoice[.]com/
IP：198.98.48[.]158
https://www.virustotal.com/#/ip-address/198.98.48.158
上記IPに紐づくドメインが大量に作られ、そのドメインにアクセスすると以下のファイルがダウンロードされます

このファイルを実行しない限り、マルウェアには感染しません。

■C2

bz[.]ecologicindustriesllc[.]com
pingdns[.]xyz/images/1.png
198.98.48.158