5/8(火)に引き続き、5/9(水)にも不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。
この件名でのばらまきは3月以来かと思います。
ばらまき量で通常程度でした。

■日時
2018/05/11(金) 15:05 - 18:40 頃

■件名
カード利用のお知らせ

■本文

■メール内リンク先URL
hxxp://bj.productosmf[.]com/
hxxp://by.productosmf[.]com/
hxxp://ck.matthewflugger[.]com/
hxxp://kn.productosmf[.]com/
hxxp://qa.blackcurrentmusic[.]com/
hxxp://ro.itari[.]com/
hxxp://rw.busterhouse[.]net/
hxxp://sn.erarquitectura[.]com/
hxxp://th.cuartodeguerraelectoral[.]com.mx/
hxxp://to.grupoonza[.]mx/
hxxp://tz.ktamaura[.]com/
hxxp://vg.ojeadasalmundo[.]com/
複数ありますが全て以下に解決されます。
IP:149.255.36[.]140
https://www.virustotal.com/#/ip-address/149.255.36.140

■ダウンロードファイル
リンクをクリックすると、ブラウザがIEの場合は以下のファイルがダウンロードされます。
もっと詳しくの情報はこちら.zip
https://www.virustotal.com/#/file/d3adf98d035d9be5a45e4c9287c3bbf6253789b4e6ea4f95f046894aafb39ecc/detection
上記の中身、またはブラウザがChromeの場合は直接以下がダウンロードされます。
もっと詳しくの情報はこちら.PDF.js
https://www.virustotal.com/en/file/5202ad774d9f0dab852a75cdd39b206fe7f4fe586a140f55885602b79548f991/analysis/
ダウンローダ型マルウェアです。

■マルウェア本体ダウンロード先URL
ダウンローダ型マルウェアを実行すると、以下から本命と思われる不正送金マルウェアを取得します。
hxxp://cu.culturallycreativetravel[.]com/10.bin
このドメインもダウンローダ型マルウェアと同じく以下のIPに解決されます。
149.255.36[.]140

■マルウェア本体(ursnif)
10.bin
https://www.hybrid-analysis.com/sample/20b4184c27c3f6ac557fbd8c3750ee6c8581d464d118353a4ce9405d104cfb5f?environmentId=100
https://cape.contextis.com/analysis/8576/
不正送金マルウェアのursnifです。
実行後はC:\Users\(ユーザ名)\AppData\Local\に作成された後、C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\にコピーされ実行されます。
前日の検体から、control.exeにインジェクションした後run32dll.exeを起動し、恐らくはその先で最終的にexploloer.exeにインジェクションします。
マルウェアの動きを止めるには、ログイン時の自動実行を停止させることと、インジェクションしているexplorerを停止させることが必要になります。

■C2通信先
C2は5/9(水)にばらまかれたursnifと同じ通信先です。
以下のC2へ何度かアクセスが発生します。
hxxp://sd[.]shares2go[.]com
IP: 89.33.64[.]57
通信はGETメソッドで行われます。

また、実行後一度だけアクセスするURLも今回変更されています。
hxxp://chklink[.]club/images/2.png
IP: 95.213.237[.]203
（32bit版OSで実行した場合には1.pngへアクセスします。）

torを使うためのdllのようです。これまでダウンロード出来ていなかったのですが、今回はダウンロードされているように見えます。

■通信一覧
ここまでの通信をまとめると画像のようになります。

その後、DGAと思われるサイトへアクセスをしています。
これまでの検体で解析していた際には、C2へPOSTメソッドで送信していた.binファイルですが、今回は恐らくtor通信と思われるもので外部へ送信されていました。
POST通信の発生がほぼなく、代わりにHTTPS443ポートの通信後にtorで使われる9001ポートでの通信が発生していました。

■収集される情報
.binファイルで送信されるファイルに含まれる内容ですが、これまでは端末の情報やキー入力内容、銀行サイトへのアクセスした際のアクセス情報が主に収集されていました。
更に今回から、銀行サイトにアクセスした場合にはそこから3分間動画が撮影されるようになっていました。

動画による銀行サイトへのアクセス手法とキーロガーの情報によって、更に不正送金の被害が予想されます。

■IoC

○URL
hxxp://bj.productosmf[.]com/
hxxp://by.productosmf[.]com/
hxxp://ck.matthewflugger[.]com/
hxxp://kn.productosmf[.]com/
hxxp://qa.blackcurrentmusic[.]com/
hxxp://ro.itari[.]com/
hxxp://rw.busterhouse[.]net/
hxxp://sn.erarquitectura[.]com/
hxxp://th.cuartodeguerraelectoral[.]com.mx/
hxxp://to.grupoonza[.]mx/
hxxp://tz.ktamaura[.]com/
hxxp://vg.ojeadasalmundo[.]com/
hxxp://cu.culturallycreativetravel[.]com/10.bin
hxxp://sd[.]shares2go[.]com
hxxp://chklink[.]club

○IP
149.255.36[.]140
89.33.64[.]57
95.213.237[.]203

○HASH(SHA256)
d3adf98d035d9be5a45e4c9287c3bbf6253789b4e6ea4f95f046894aafb39ecc
5202ad774d9f0dab852a75cdd39b206fe7f4fe586a140f55885602b79548f991
20b4184c27c3f6ac557fbd8c3750ee6c8581d464d118353a4ce9405d104cfb5f