2018/04/24 『【楽天市場】注文内容ご確認(自動配信メール)』の調査
先週に引き続き、不正送金マルウェアursnifの感染を狙った楽天市場を騙るメールのばらまきがありました。
■日時
2018/04/24(火) 14:55 ~ 21:10
主に14時~16時代、19時代、21時代と計3回の波がきていました。
※以下、件名、送信者、本文は4/19,4/20のものと同様です。
■件名
【楽天市場】注文内容ご確認(自動配信メール)
■送信者
楽天市場 <order@rakuten.co.jp>
■添付ファイル
-(なし)
■本文
※お店の名前や注文番号は複数種類あり
■メールのリンク誘導先URL
176.223.165[.]111 に解決されるドメイン
※誘導先IPは4/20(金)の2段階目の誘導先IPと同一です
hxxp://ac.ballistixops[.]com/
hxxp://ad.hurricanewaterballs[.]com/
hxxp://ad.manilaglitter[.]com/
hxxp://ae.primetimetoys[.]com/
hxxp://ag.theoriginalmaxliquidator[.]com/
hxxp://ai.wetnwild-sprinklers[.]com/
hxxp://bg.dartzoneblasters[.]com/
hxxp://bq.supersharkpedo[.]com/
hxxp://br.supersharkpedo[.]com/
hxxp://br.supersharkpedo[.]com/
hxxp://cf.mixologypost[.]com/
hxxp://ch.saveourchildreninc[.]org/
hxxp://ck.dartzoneblasters[.]com/
hxxp://ck.originalmaxliquidator[.]com/
hxxp://cr.dartzonecovertops[.]com/
hxxp://cu.ballistixops[.]com/
hxxp://cx.manilaglitter[.]com/
hxxp://fo.wetnwild-sprinklers[.]com/
hxxp://gn.harvesttimedfc[.]org/
hxxp://hk.mixologypost[.]com/
hxxp://ki.wetnwild-sprinklers[.]com/
hxxp://mg.tidalstormwaterblasters[.]com/
hxxp://ms.tidalstormwaterblasters[.]com/
hxxp://nr.primetimetoys[.]com/
hxxp://pl.manilaglitter[.]com/
hxxp://rw.dd-mc[.]com/
hxxp://sr.maxliquidator[.]net/
hxxp://ss.originalmaxliquidator[.]com/
hxxp://sv.tidalstormwaterblasters[.]com/
hxxp://um.originalmaxliquidator[.]com/
hxxp://uz.dartzonecovertops[.]com/
hxxp://yt.primetimetoys[.]com/
(確認できたもの32種)
■ダウンロードされるファイル
「もっと詳しくの情報はこちら.pdf.js」 (ブラウザ:Chrome)
「もっと詳しくの情報はこちら.zip」→「もっと詳しくの情報はこちら.pdf.js」(ブラウザ:IE)
※アクセスするブラウザにより挙動は異なりますが、jsファイルは同一のものです。
https://www.hybrid-analysis.com/sample/77a23e8d53b10f6f586ad77cb8b4f277e7bd6263f6ed51926f5c6f853c3bc7e2/5adec89b7ca3e1577b1e6f6f
ダウンローダ型マルウェアです。
アクセスするとHTTP Response Code 301で「もっと詳しくの情報はこちら.zip」にリダイレクトされる様子です。
■二次接続先
hxxp://yt.rkmusic[.]com/01010.bin
一次接続先と同様の176.223.165[.]111に解決されます。
■マルウェア本体
https://www.hybrid-analysis.com/sample/d4bd7742f2479f1ee456db9ece8f617149fdc46ef6bf5245d3be3b9ebbd3923f/5adec9c37ca3e15e8f7ae330
不正送金マルウェアursnifです。
■マルウェアC2接続先
hxxp://chklink[.]us
マルウェア動作後、初期に1回、/images/1.png へアクセスします
なお、IPは先週の時点と変わっており、49.51.193[.]43となっています。
https://www.virustotal.com/#/ip-address/49.51.193.43
■IoC
○URL
hxxp://ac.ballistixops[.]com/
hxxp://ad.hurricanewaterballs[.]com/
hxxp://ad.manilaglitter[.]com/
hxxp://ae.primetimetoys[.]com/
hxxp://ag.theoriginalmaxliquidator[.]com/
hxxp://ai.wetnwild-sprinklers[.]com/
hxxp://bg.dartzoneblasters[.]com/
hxxp://bq.supersharkpedo[.]com/
hxxp://br.supersharkpedo[.]com/
hxxp://br.supersharkpedo[.]com/
hxxp://cf.mixologypost[.]com/
hxxp://ch.saveourchildreninc[.]org/
hxxp://ck.dartzoneblasters[.]com/
hxxp://ck.originalmaxliquidator[.]com/
hxxp://cr.dartzonecovertops[.]com/
hxxp://cu.ballistixops[.]com/
hxxp://cx.manilaglitter[.]com/
hxxp://fo.wetnwild-sprinklers[.]com/
hxxp://gn.harvesttimedfc[.]org/
hxxp://hk.mixologypost[.]com/
hxxp://ki.wetnwild-sprinklers[.]com/
hxxp://mg.tidalstormwaterblasters[.]com/
hxxp://ms.tidalstormwaterblasters[.]com/
hxxp://nr.primetimetoys[.]com/
hxxp://pl.manilaglitter[.]com/
hxxp://rw.dd-mc[.]com/
hxxp://sr.maxliquidator[.]net/
hxxp://ss.originalmaxliquidator[.]com/
hxxp://sv.tidalstormwaterblasters[.]com/
hxxp://um.originalmaxliquidator[.]com/
hxxp://uz.dartzonecovertops[.]com/
hxxp://yt.primetimetoys[.]com/
hxxp://yt.rkmusic[.]com/01010.bin
hxxp://chklink[.]us
○IP
176.223.165[.]111
49.51.193[.]43
○Hash
77a23e8d53b10f6f586ad77cb8b4f277e7bd6263f6ed51926f5c6f853c3bc7e2
d4bd7742f2479f1ee456db9ece8f617149fdc46ef6bf5245d3be3b9ebbd3923f