前の週に続き、日本語のEmotetのばらまきメールがばらまかれました。今回も前回同様、次のマルウェアとして、Trickbotに感染します。 ■日時2019/10/22 - 2019/10/24 ■件名（日本語のみ抜粋、英語のものもある）コメントデータドキュメントメッセージメッセー…

主に海外向けのursnif だと思われますが日本でも感染している事例を見つけました。主に感染しているのは、US,JP,AU,GB,ITですが、それ以外にも様々な地域が感染しているのを確認しています。感染は9/30頃から始まっていた可能性が高いです。 誘導の手段の全…

10/14週も日本語のEmotetのばらまきがありました。今回は追加で感染させられるマルウェアがTrickbotでした。 ■日時2019/10/15（火） ～ 2019/10/18（金） ■件名日本語の件名はどうやら毎回一定で以下のようです。※件名の後ろに日付や人名等が付いている場合…

9月に続き、日本語のemotetのばらまきがありました。 一部では返信型emotetもあるようです。件名にRE: がついており、と過去メール送受信した履歴が付いたメールですが、添付ファイルにマクロ付きのWordファイルがついてきます。この添付ファイルもemotetへ…

2018/11、2019/2、2019/4に続き、4度目の日本語のEmotetのばらまきが発生しました。 ■日時2019/09/27（金） ■件名（これ以外もあり）ドキュメントドキュメント <名前>メッセージメッセージを繰り返す <名前>リマインダーリマインダー <名前>情報情報 <名前>…

前の記事のメールの返信にhtmlファイルを添付して、その中に含まれるリンクからファイルをダウンロードする攻撃を、実際にサイトが動作している状態を確認しました。この挙動は1週間以上同じ状態でした。 ■日時2019/09/24 ■誘導先URLhxxp://viewdocument.sva…

以下のURLへ誘導するメールが9/17頃に出ていたようです。※自分で稼働を確認はしていないが、AnyRunで動作しているものを確認。メールの返信に添付ファイルとしてhtml形式のファイルが添付され、その中のリンクからファイルをダウンロードするように誘導する…

Webmoneyをかたってマルウェアへ誘導するメールの第二弾です。 ■件名Webmoneyご購入の受注確認 ■送信者（詐称）ウェブマネー <mailmagazine[@]webmoney.ne[.]jp> ■誘導先URLhxxp://185.251.249[.]172/→リダイレクトhxxps://www.mowebmong-you[.]com/IP:103.100.211[.]61https://urlscan.io/res</mailmagazine[@]webmoney.ne[.]jp>…

Facebookをかたっていたものが、同日中にWebmoneyをかたったものに変化しました。 ■日時2019/09/22 12:30- ■件名Webmoneyご購入の受注確認 ■送信者(詐称)ウェブマネー <mailmagazine[@]webmoney[.]ne[.]jp> ■URLhxxps://www.kopsmg[.]com/IP: 103.100.211[.]61https://urlscan.io/result/f274a22</mailmagazine[@]webmoney[.]ne[.]jp>…

Facebookをかたった日本語のばらまきメールの3日目です。 ■件名【Facebook】変更の提示 ■送信者(詐称)"Facebook" <registration[@]facebookmail[.]com> ■URLhxxps://www.king-fackbook[.]com/IP: 103.100.211[.]61https://urlscan.io/result/3d479fe9-5590-4cfb-8ecd-04d5674ff487/https://app.a</registration[@]facebookmail[.]com>…

前日からばらまかれているFacebookを騙ってマルウェアをダウンロードさせるメールが、URLが変わって再びばらまかれました。 ■日時2019/09/21 7:00- ■件名[Facebook]--変更の提示 ■送信者(詐称)"Facebook" <registration[@]facebookmail[.]com> ■URLhxxps://www.oitunmy[.]com/https://urlscan.io</registration[@]facebookmail[.]com>…

地下鉄カード、LINE、をかたっていたアクターが今度はFacebookをかたって日本語のマルウェア付きメールをばらまいているのを確認しました。 ■日時2019/09/20 ■件名Facebook変更の提示Facebook--変更の提示[Facebook]--変更の提示 ■送信者(詐称): "Facebook" <registration[@]facebookmail[.]com></registration[@]facebookmail[.]com>…

LINEをかたってマルウェアへ誘導するメールの第三段です。 ■日時2019/09/02（日） ■件名:[LINE]-ヒント保護メカニズム ■送信者（詐称）:"LINE" <do_not_reply[@]line[.]me> ■メール内リンクURLhxxps://www.tingdianjifen[.]comIP:154.221.22[.]233 ※変わらず サイトイメージhttps://url</do_not_reply[@]line[.]me>…

LINEをかたってマルウェアへ誘導するメールの第二弾がばらまかれていました。 ■日時2019/09/01(日) ■件名・13:30頃～14:00頃「LINE 重要ヒント保護メカニズム」・14:00頃～「LINE-ヒント保護メカニズム」 ■メール内誘導先URLhxxps://www.uitengone[.]comIP: …

東京メトロをかたってマルウェアへ誘導していたメールが、LINEをかたったものに変わっていますが、誘導先のドメインは同じであり、同様にgh0stcringeへ感染を狙ったものです。 ■日時2019/08/30（金）18:00頃- ■送信者（詐称） "LINE" <do_not_reply[@]line[.]me> ■件名LINE重要ヒント保</do_not_reply[@]line[.]me>…

東京メトロをかたってgh0stcringeへ感染させるメールの第三弾です。 ■日時2019/08/29 19:30 - 2019/08/30 12:00頃 ■件名地下鉄カードのポイントの現金返還キャンペーン ■送信者(詐称)【東京メトロ】 <info[@]tokyometro-train-mail[.]jp> ■メール内リンクURLhxxps://www.juminkehe[.]com/IP: 154</info[@]tokyometro-train-mail[.]jp>…

東京メトロをかたった（小規模な）ばらまきメールの第二弾がありました。ダウンロードされるファイルを少し細工したのみで、通信先等は変化ありません。 ■日時2019/08/29(火) ■件名地下鉄カードのポイントの現金返還キャンペーン ■送信者【東京メトロ】 <info[@]tokyometro-train-mail[.]jp> ■誘</info[@]tokyometro-train-mail[.]jp>…

これまで知られていない新しいタイプのマルウェアへの感染を狙ったばらまきメールを観測しました。地下鉄カード（って何？）の番号を入力させる東京メトロをかたったメールです。 ■日時2019/08/27(火) ■件名地下鉄カードのポイントの現金返還キャンペーン ■…

■日時2019/08/09（金）～2019/08/10（土） ■件名Fw:Jin'in sakugen ■本文お世話になります。これは解雇される従業員のリストです。 ■添付ファイル2019-08-09.html ■添付ファイル内のリンク先URLhxxps://palabogados[.]com リンク先にアクセスするっと301でリ…

普段観測しているスパムボットCutwailからは主に日本とイタリア向けにマルウェア付きの不審メールがばらまかれています。7/29には、宛先の国を絞らず、広い範囲に向けてメールをばらまいているのを観測しました。このメールは過去イタリア向けに使用していた…

約1月ぶりにバラマキがありました。件名が日本語のものになっています、通信先ドメインは6/19のものと同一です。 ■日時2019/07/16 4:30頃 - ■件名支払文書 ■添付ファイルInvoice-nnnnnn.zip -> Invoice-nnnnnn.js※nnnnnnは数字6桁412b8b20401348383085f05239…