bomb_log

セキュリティに関するbom

2018/06/26(火) 『【楽天カード】カードご請求金額のご案内』の調査

楽天をかたった不審メールで、メール内リンクからダウンロードされるファイルを実行すると、不正送金マルウェアに感染します。
インジケータ等のみを記載シておきます。

 

■日時
2018/06/26 16:25 -

■件名
楽天カード】カードご請求金額のご案内

■送信者
info[@]mail.rakuten-card.co[.]jp

■メール内リンク
(例)
hxxp://qa.thelovechoice[.]com/
IP:198.98.48[.]158
https://www.virustotal.com/#/ip-address/198.98.48.158
上記IPに紐づくドメインが大量に作られ、そのドメインにアクセスすると以下のファイルがダウンロードされます

■ダウンロードファイル
chromeでアクセスすると以下ファイルがダウンロードされます。IEでアクセスするとzipファイル形式でダウンロードされます。
もっと詳しくの情報はこちら.pdf.js
https://www.hybrid-analysis.com/sample/3f057cd1cc91d243859526d4bf78270ed89ec54655e56d8d65bd4030db00a6b1?environmentId=100
https://www.virustotal.com/#/file/3f057cd1cc91d243859526d4bf78270ed89ec54655e56d8d65bd4030db00a6b1/detection
https://app.any.run/tasks/4fbbdc27-2160-463a-9e07-4b6b14ac217e

このファイルを実行しない限り、マルウェアには感染しません。

■二次ダウンロード
上記jsを実行すると、以下へアクセスしマルウェアをダウンロード・実行されます。
不正送金マルウェア(バンキングトロジャン)のursnifです。
hxxps://gy.nuecesbend.com/0.bin
IP 198.98.48[.]158
https://www.hybrid-analysis.com/sample/9d55e7d8c83c70ea8c1e7ae17ef56380422dd73ecca008e3c65db0b5cf4e2d1f?environmentId=100
https://app.any.run/tasks/b7b06920-fcc0-4c8d-a1e8-352d11c3de8c
https://cape.contextis.com/analysis/11659/

■C2

bz[.]ecologicindustriesllc[.]com
pingdns[.]xyz/images/1.png
198.98.48.158