6/12に引き続き、6/13も添付ファイル付の不審メール の配信を確認しています。

■日時
2018/06/13(火) 16:25頃 - 17:30頃

■件名
請求書を送ります
Fwd: 6月分請求書リスト

■添付ファイル名
経理部.（請求書）.xls
https://www.hybrid-analysis.com/sample/412a40cf59759b0188d97649a6baca63d4de4bdfa45a7b5a568d14f8589ef78e?environmentId=100

■ダウンロードするURLおよびマルウェア
添付ファイルを実行すると、以下のダウンローダ型マルウェアbebloh を取得します。
hxxp://zeraum[.]com/footerlogo.gif
https://www.hybrid-analysis.com/sample/69e3f671104eee450032d603b4afdf6e0eed82354a909d3b755a0813b5faba05?environmentId=100

■追加でダウンロードするURLおよびマルウェア
beblohを実行していると、更に以下の不正送金マルウェアursnif を取得します。
hxxp://wimkegravestein[.]nl/language/overrides/tv_pcdx[.]exe
https://www.hybrid-analysis.com/sample/7836911a246ded58a2f20d30d4a751d46784a3e41e9f66c408691f6c298e6afc?environmentId=100

■C2
先日から変化なしです。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com