先週に引き続き、不正送金マルウェアursnifの感染を狙った楽天市場を騙るメールのばらまきがありました。

■日時
2018/04/24(火) 14:55 ～ 21:10
主に14時～16時代、19時代、21時代と計3回の波がきていました。

※以下、件名、送信者、本文は4/19,4/20のものと同様です。
■件名
【楽天市場】注文内容ご確認（自動配信メール）

■送信者
楽天市場 <order＠rakuten.co.jp>

■添付ファイル
-（なし）

■本文

※お店の名前や注文番号は複数種類あり
 

■メールのリンク誘導先URL
176.223.165[.]111 に解決されるドメイン
※誘導先IPは4/20(金)の2段階目の誘導先IPと同一です
hxxp://ac.ballistixops[.]com/
hxxp://ad.hurricanewaterballs[.]com/
hxxp://ad.manilaglitter[.]com/
hxxp://ae.primetimetoys[.]com/
hxxp://ag.theoriginalmaxliquidator[.]com/
hxxp://ai.wetnwild-sprinklers[.]com/
hxxp://bg.dartzoneblasters[.]com/
hxxp://bq.supersharkpedo[.]com/
hxxp://br.supersharkpedo[.]com/
hxxp://br.supersharkpedo[.]com/
hxxp://cf.mixologypost[.]com/
hxxp://ch.saveourchildreninc[.]org/
hxxp://ck.dartzoneblasters[.]com/
hxxp://ck.originalmaxliquidator[.]com/
hxxp://cr.dartzonecovertops[.]com/
hxxp://cu.ballistixops[.]com/
hxxp://cx.manilaglitter[.]com/
hxxp://fo.wetnwild-sprinklers[.]com/
hxxp://gn.harvesttimedfc[.]org/
hxxp://hk.mixologypost[.]com/
hxxp://ki.wetnwild-sprinklers[.]com/
hxxp://mg.tidalstormwaterblasters[.]com/
hxxp://ms.tidalstormwaterblasters[.]com/
hxxp://nr.primetimetoys[.]com/
hxxp://pl.manilaglitter[.]com/
hxxp://rw.dd-mc[.]com/
hxxp://sr.maxliquidator[.]net/
hxxp://ss.originalmaxliquidator[.]com/
hxxp://sv.tidalstormwaterblasters[.]com/
hxxp://um.originalmaxliquidator[.]com/
hxxp://uz.dartzonecovertops[.]com/
hxxp://yt.primetimetoys[.]com/
（確認できたもの32種）

■ダウンロードされるファイル
「もっと詳しくの情報はこちら.pdf.js」 (ブラウザ：Chrome)
「もっと詳しくの情報はこちら.zip」→「もっと詳しくの情報はこちら.pdf.js」(ブラウザ：IE)
※アクセスするブラウザにより挙動は異なりますが、jsファイルは同一のものです。
https://www.hybrid-analysis.com/sample/77a23e8d53b10f6f586ad77cb8b4f277e7bd6263f6ed51926f5c6f853c3bc7e2/5adec89b7ca3e1577b1e6f6f
ダウンローダ型マルウェアです。
アクセスするとHTTP Response Code 301で「もっと詳しくの情報はこちら.zip」にリダイレクトされる様子です。

■二次接続先
hxxp://yt.rkmusic[.]com/01010.bin
一次接続先と同様の176.223.165[.]111に解決されます。

■マルウェア本体
https://www.hybrid-analysis.com/sample/d4bd7742f2479f1ee456db9ece8f617149fdc46ef6bf5245d3be3b9ebbd3923f/5adec9c37ca3e15e8f7ae330
不正送金マルウェアursnifです。

■マルウェアC2接続先
hxxp://chklink[.]us
マルウェア動作後、初期に1回、/images/1.png へアクセスします
なお、IPは先週の時点と変わっており、49.51.193[.]43となっています。
https://www.virustotal.com/#/ip-address/49.51.193.43

■IoC
○URL
hxxp://ac.ballistixops[.]com/
hxxp://ad.hurricanewaterballs[.]com/
hxxp://ad.manilaglitter[.]com/
hxxp://ae.primetimetoys[.]com/
hxxp://ag.theoriginalmaxliquidator[.]com/
hxxp://ai.wetnwild-sprinklers[.]com/
hxxp://bg.dartzoneblasters[.]com/
hxxp://bq.supersharkpedo[.]com/
hxxp://br.supersharkpedo[.]com/
hxxp://br.supersharkpedo[.]com/
hxxp://cf.mixologypost[.]com/
hxxp://ch.saveourchildreninc[.]org/
hxxp://ck.dartzoneblasters[.]com/
hxxp://ck.originalmaxliquidator[.]com/
hxxp://cr.dartzonecovertops[.]com/
hxxp://cu.ballistixops[.]com/
hxxp://cx.manilaglitter[.]com/
hxxp://fo.wetnwild-sprinklers[.]com/
hxxp://gn.harvesttimedfc[.]org/
hxxp://hk.mixologypost[.]com/
hxxp://ki.wetnwild-sprinklers[.]com/
hxxp://mg.tidalstormwaterblasters[.]com/
hxxp://ms.tidalstormwaterblasters[.]com/
hxxp://nr.primetimetoys[.]com/
hxxp://pl.manilaglitter[.]com/
hxxp://rw.dd-mc[.]com/
hxxp://sr.maxliquidator[.]net/
hxxp://ss.originalmaxliquidator[.]com/
hxxp://sv.tidalstormwaterblasters[.]com/
hxxp://um.originalmaxliquidator[.]com/
hxxp://uz.dartzonecovertops[.]com/
hxxp://yt.primetimetoys[.]com/
hxxp://yt.rkmusic[.]com/01010.bin
hxxp://chklink[.]us

○IP
176.223.165[.]111
49.51.193[.]43

○Hash
77a23e8d53b10f6f586ad77cb8b4f277e7bd6263f6ed51926f5c6f853c3bc7e2
d4bd7742f2479f1ee456db9ece8f617149fdc46ef6bf5245d3be3b9ebbd3923f