02(月) 『7月度発注書送付』『invoice／証明書』『注文書をお送りいたします』の調査

添付ファイル付の不審メールのばらまきがありました。添付ファイルを実行すると、不正送金マルウェアursnifに感染します。
記録としてインジケータ等を記載します。

■日時
2018/07/02(月) 6:10頃～

■件名
7月度発注書送付
invoice／証明書
注文書をお送りいたします

■添付ファイル
注文書_nnnn.xls
※nnnnは数字4桁
https://www.hybrid-analysis.com/sample/2459267409143a7723b6e0fea34ef8f4b4bc510ee37e48f422f3324d696aca18
添付ファイルはダウンローダで、開いてマクロを有効にしない限り、マルウェアには感染しません。
有効にすると、見えない形で以下のマルウェアをダウンロード・実行します。

2018/06/29(金) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

楽天をかたったメールで、メール内リンクから不正送金マルウェアursnifへの感染を狙ったばらまきメールがありました。

■日時
2018/6/29

■件名
【速報版】カード利用のお知らせ(本人ご利用分)

■差出人
info[@]mail.rakuten-card.co.jp

■メール本文内のリンク
（例）他のリンクも同じIPに解決する
hxxp://fj.gueyprotein.com/
IP: 45.125.65[.]69

■ダウンロードファイル
メールをクリックすると以下のファイルがダウンロードされます。
もっと詳しくの情報はこちら.pdf.js
このファイルを実行しない限り、マルウェアに感染することはありません。

■二次ダウンロードファイル（ursnif）
hxxps://fj.gueyprotein[.]com/200.bin
IP: 45.125.65[.]69
https://www.hybrid-analysis.com/sample/8ad7ac0ffd6f3daeaefcda542a0cea93bf30f2855135965324b151a2c1a794ed

様々な件名でエクセルファイルが添付された不審メールがばらまかれていました。添付ファイルを実行すると不正送金マルウェアursnifに感染します。

■日時
2018/06/28（木）15:20頃～

■件名
スナップ写真
写真
写真添付
写真送ります。
写真送付の件
添付写真あり

■ダウンロードファイル（bebloh）
添付ファイルを開きマクロを有効化すると以下のマルウェアがダウンロード・実行されます。ダウンローダ型マルウェアです。
hxxp://monde[.]at/realst
IP: 47.74.148[.]105
https://www.hybrid-analysis.com/sample/8df2efce13a873cfde5a424b0d1c9bdc21056840644d8ee53fb843bfc6a9995e?environmentId=100
C2: hxxps://bdv4cc9rub[.]com

■二次ダウンロードファイル（ursnif）
上記ファイルを実行後、10分前後するとC2サーバへアクセス後、以下のマルウェアをダウンロード・実行されます。不正送金マルウェアursnifです。
hxxp://hispavila[.]com/total/privado/estyle.exe
https://www.hybrid-analysis.com/sample/6ffdb0dfa15d69f36c9efbfcd37b3ec2573d9199f9118b69254dfe3a336d414a/5b34ac847ca3e15d136d220c
C2: hxxps://vachiderk[.]com