前日からばらまかれているFacebookを騙ってマルウェアをダウンロードさせるメールが、URLが変わって再びばらまかれました。 ■日時2019/09/21 7:00- ■件名[Facebook]--変更の提示 ■送信者(詐称)"Facebook" <registration[@]facebookmail[.]com> ■URLhxxps://www.oitunmy[.]com/https://urlscan.io</registration[@]facebookmail[.]com>…

地下鉄カード、LINE、をかたっていたアクターが今度はFacebookをかたって日本語のマルウェア付きメールをばらまいているのを確認しました。 ■日時2019/09/20 ■件名Facebook変更の提示Facebook--変更の提示[Facebook]--変更の提示 ■送信者(詐称): "Facebook" <registration[@]facebookmail[.]com></registration[@]facebookmail[.]com>…

LINEをかたってマルウェアへ誘導するメールの第三段です。 ■日時2019/09/02（日） ■件名:[LINE]-ヒント保護メカニズム ■送信者（詐称）:"LINE" <do_not_reply[@]line[.]me> ■メール内リンクURLhxxps://www.tingdianjifen[.]comIP:154.221.22[.]233 ※変わらず サイトイメージhttps://url</do_not_reply[@]line[.]me>…

LINEをかたってマルウェアへ誘導するメールの第二弾がばらまかれていました。 ■日時2019/09/01(日) ■件名・13:30頃～14:00頃「LINE 重要ヒント保護メカニズム」・14:00頃～「LINE-ヒント保護メカニズム」 ■メール内誘導先URLhxxps://www.uitengone[.]comIP: …

東京メトロをかたってマルウェアへ誘導していたメールが、LINEをかたったものに変わっていますが、誘導先のドメインは同じであり、同様にgh0stcringeへ感染を狙ったものです。 ■日時2019/08/30（金）18:00頃- ■送信者（詐称） "LINE" <do_not_reply[@]line[.]me> ■件名LINE重要ヒント保</do_not_reply[@]line[.]me>…

東京メトロをかたってgh0stcringeへ感染させるメールの第三弾です。 ■日時2019/08/29 19:30 - 2019/08/30 12:00頃 ■件名地下鉄カードのポイントの現金返還キャンペーン ■送信者(詐称)【東京メトロ】 <info[@]tokyometro-train-mail[.]jp> ■メール内リンクURLhxxps://www.juminkehe[.]com/IP: 154</info[@]tokyometro-train-mail[.]jp>…

東京メトロをかたった（小規模な）ばらまきメールの第二弾がありました。ダウンロードされるファイルを少し細工したのみで、通信先等は変化ありません。 ■日時2019/08/29(火) ■件名地下鉄カードのポイントの現金返還キャンペーン ■送信者【東京メトロ】 <info[@]tokyometro-train-mail[.]jp> ■誘</info[@]tokyometro-train-mail[.]jp>…

これまで知られていない新しいタイプのマルウェアへの感染を狙ったばらまきメールを観測しました。地下鉄カード（って何？）の番号を入力させる東京メトロをかたったメールです。 ■日時2019/08/27(火) ■件名地下鉄カードのポイントの現金返還キャンペーン ■…

■日時2019/08/09（金）～2019/08/10（土） ■件名Fw:Jin'in sakugen ■本文お世話になります。これは解雇される従業員のリストです。 ■添付ファイル2019-08-09.html ■添付ファイル内のリンク先URLhxxps://palabogados[.]com リンク先にアクセスするっと301でリ…

普段観測しているスパムボットCutwailからは主に日本とイタリア向けにマルウェア付きの不審メールがばらまかれています。7/29には、宛先の国を絞らず、広い範囲に向けてメールをばらまいているのを観測しました。このメールは過去イタリア向けに使用していた…

約1月ぶりにバラマキがありました。件名が日本語のものになっています、通信先ドメインは6/19のものと同一です。 ■日時2019/07/16 4:30頃 - ■件名支払文書 ■添付ファイルInvoice-nnnnnn.zip -> Invoice-nnnnnn.js※nnnnnnは数字6桁412b8b20401348383085f05239…

【簡易版】 ■日時2019/06/19 9:00- ■件名Fw: ■添付ファイルreport.zip -> report.jshttps://www.virustotal.com/gui/file/44d8920aedb1db31dacc00e629196b8350be5657eae3652915f3420fe79b7d35/detection ■通信先hxxp://bibicity[.]ru/x.exeursnif exehttps:/…

この日のursnifへの感染を狙った日本語のばらまきメールでは、幾つか変化がありました。 ・ダウンローダのxlsファイル内で端末情報を取得し、beblohに観戦前にC2サーバに送信すること。・beblohのDGAのアルゴリズムが変化した・beblohのC2の稼働が変化した …

【簡易版】 ■件名Fw:Fw:Jin'in sakugen ■送信者 Haruto Tanaka※偽装されたものであり、メールアドレスは様々 ■本文「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。 運送状況を、お知らせ致します。 ご注文番号：1569129288 --------…

【簡易版】 ■日時2019/06/12 9:00- ■件名Fw: ■添付ファイル1.doc.zip -> 1.doc.vbsinfo.zip -> info.js ■通信先hxxp://elievarsen[.]ru/1.dochttps://app.any.run/tasks/50168d8a-0a6b-47f8-8b6d-2ed6f2ba37c2#ursnif※拡張子偽装 ursnifのexeファイル ・C2hx…

【簡易版】この日は1種類のハッシュ値の添付ファイルのみばらまかれていました。また、beblohのC2がすぐにダウンしたため、こちらではursnifまで取得できてはいません。 ■日時2019/06/05 15:30- ■件名請求番号: nnnn-nnnnnnnnn決済確定のお知らせ個人負担分…

【簡易版】前日と同じ通信先のursnifを取得する。ただし、添付ファイルが.jsから.vbsへと変化している。 ■日時2019/06/04 9:00- ■件名Fw: ■送信者 Haruto Watanabe※偽装されたものであり、メールアドレスは様々 ■本文「この度は、楽天市場 をご利用いただき…

簡易版です。 ■日時2019/06/03 8:00- ■件名Fw: ■送信者 Haruto Watanabe※偽装されたものであり、メールアドレスは様々 ■本文「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。 運送状況を、お知らせ致します。 ご注文番号：156967479 …

久しぶりに、1週間に二度、bebloh->ursnifの不正送金マルウェアへの感染を狙ったメールのばらまきを観測しました。先週にはメールのばらまきがなかった反動かもしれません。今回は2種類の件名、3種類の添付ファイルがありますが、どれも同じ通信先へ接続しま…

5/7から20日ぶりにbebloh->ursnifへの感染を狙ったバラマキメールを観測しました。今回は3種類の件名、添付ファイルがありますが、どれも同じ通信先へ接続します。 ■日時2019/05/27(月) ○16:00頃-■件名FW: 【再送】2019/2【仮版下送付】【電話未確認】(※)201…

5/21に続き、不正送金マルウェアursnifへの感染を狙った不審メールのばらまきを観測しています。 ■日時2019/05/22 8:00頃- ■件名Fw: ■メール送信者(HeaderFrom)"Akira Suzuki"※返信先メールアドレスはバラバラであり、詐称しているものと思われます。 ■本文…

5/8にも発生していた、不正送金マルウェアursnifへの感染を狙ったメールのばらまきを5/21にも確認をしています。このアクターは過去（2018年12月まで）に楽天をかたったメールのばらまきを行っていましたが、今回から再び、楽天をかたったメールをばらまくよ…

4/25にもあったばらまきと同様、5/8にもursnif への感染を狙ったも不審メールのばらまきを観測しています。 ■日時2019/5/8 11:30 - ■件名Fw: ■メール送信者（HeaderFrom）"Takashi Suzuki"※返信先メールアドレスはバラバラであり、詐称しているものと思われ…

2019/05/07に、日本語の不審メール のばらまきが観測されています。bebloh→ursnifと不正送金マルウェアへの感染を狙ったものです。 ■日時2019/05/07 16:00 頃- ○16:00頃-■件名(有償）注文書FW:（通知）RE: 通関【訂正版】建材発注書です転送された画像 - Fro…

先週の4/15,16,17,18,22に引き続き、同一のアクターからと思われるursnif(B)のばらまきが発生しました。 ■日時 2019/04/25(木) 11:00- ■件名Re:※今回はこれまでと件名が異なります。 ■送信者名Takashi Yamaguchi※恐らく詐称したもの。送信元メールアドレスは…

4週連続で水曜日に来ていたbebloh/ursnifに感染する日本語メールによるばらまきですが、この週は火曜日に来ました。最近の特徴として、件名の種類が10種類以上と多く、また添付ファイルの名前とハッシュの種類も1日で3－4種類と手が込んできています。 ■日時…

先週の4/15,16,17,18に引き続き、同一のアクターからと思われるursnif(B)のばらまきが発生しました。 ■日時 4/22(月) 10:30- ■件名Fw:※把握できている範囲内では全てこの件名ですが、他の件名が存在する可能性もあります。 ■本文(2種類)「期日超過支払いの請…

この日で4/15,16,17,18と4日連続で、同一のアクターからと思われるursnif(B)のばらまきが発生しました。 ※件名、本文、添付ファイル等複数ある可能性があり、全てを網羅出来てはいない可能性があります。ただし、通信先は同じと考えられます。 ■件名（例）Fw:…

この所、毎週水曜日（3/27,4/3,4/10,4/17）にばらまかれているbebloh/ursnifのばらまきが発生しました。 時刻により、3種類の件名、添付ファイル、本文の組み合わせがありますが、通信先は同一です。 ■日時2019/04/17 16:00 頃- ○16:00 頃■件名(10 種)Fw: 納…

この日で4/15,16,17と3日連続で、同一のアクターからと思われるursnif(B)のばらまきが発生しました。 ※件名、本文、添付ファイル等複数ある可能性があり、全てを網羅出来てはいない可能性があります。ただし、通信先は同じと考えられます。 ■日時4/17 9:30 …