楽天をかたった不審メールのばらまきによる不正送金マルウェアへの感染を狙った攻撃を観測しました。

■日時
2018/07/18(水) 14:35頃 ~

■件名
カード利用のお知らせ

■送信者
nfo[@]mail.rakuten-card.co[.]jp

■メール内リンク先URL
hxxp://pl.declarationvideo[.]com/　など
全て IP: 185.14.31[.]229 に紐づくドメイン。

■ダウンロードされるファイル
もっと詳しくの情報はこちら.pdf.js
https://www.hybrid-analysis.com/sample/5b1664343ce74627b328e328011b572402325e8f40e06ea7f3e0fa313d75fbe0
ダウンローダとして機能するスクリプトです。

■マルウェア取得先
hxxp://cr.allweis[.]com/0.bin
IP:185.14.31[.]229
https://www.hybrid-analysis.com/sample/19364a84a5749747772af4239b5661d192ea11342e479ccd5e7086081e458745
不正送金マルウェアのursnifです。

■C2
以下の2種でした。うち上のものがマルウェアの設定ファイルを取得しているものです。
hxxp://upload-speed[.]icu
IP: 149.129.217[.]59
hxxp://hu.ecologicindustries[.]com
IP: 176.9.164[.]253

■マルウェアの動作
今回のマルウェアは銀行サイトへアクセスすると動画を撮影するというパターンでした。
（他のものはアクセスしたURLを取得する、など）

JC3のGozi感染チェックサイトでは、感染している場合には赤く表示されます。