楽天市場をかたったばらまきに引き続き、xlsファイル添付するタイプの不審メールの配信を確認しました。

■日時
2018/6/26 17:30頃 - 18:00頃

■件名
写真添付
写真送付の件

■添付ファイル 
2018.(※）_写真.xls
※：任意の数字列
https://www.hybrid-analysis.com/sample/447ea601b16f16b185b37c49b039cb20a430bff0479da07ed0501bef34ab5e02?environmentId=100

■ダウンロードされるURLおよびマルウェア
ダウンローダ型マルウェアのbeblohです。
hxxp://zeraum[.]com/headtop.gif
47.74.254[.]100
https://www.hybrid-analysis.com/sample/68cb615583672b5336e2b1082d7473c8e46154d4ea2d37a139617d2a427e5103?environmentId=110
ただし、今回はダウンロードできませんでした。少し接続できたタイミングはあったようですが、すぐにアクセスできなくなり、ダウンロードできませんでした。

■追加でダウンロードされるURLおよびマルウェア 
今回は既にダウンロード先がアクセスできないため、先週のbeblohを実行し、以下を取得しました。不正送金マルウェアursnifです。
hxxp://taxiprivesek[.]cz/amd_st.exe

■C2
特段変わらずです。
○bebloh
hxxps://dbv4cc9rub[.]net
○ursnif
hxxps://vachiderk[.]com

■プロセスの動き
beblohは自身がexplorer.exeにインジェクションしていました。
ursnifは親のexplorer.exeにインジェクションしていました。