様々な件名でエクセルファイルが添付された不審メールがばらまかれていました。添付ファイルを実行すると不正送金マルウェアursnifに感染します。

■日時
2018/06/28（木）15:20頃～

■件名
スナップ写真
写真
写真添付
写真送ります。
写真送付の件
添付写真あり

■添付ファイル
数字_写真①.xls
https://www.hybrid-analysis.com/sample/333ce82ca7591c39a27be2ec07ea3e213e7876ee968d7d736733566883a160bc?environmentId=100
https://www.hybrid-analysis.com/sample/9413e035932981e809435205528fae36cbbfed87b5defc1731817aa0530e2247?environmentId=100

■ダウンロードファイル（bebloh）
添付ファイルを開きマクロを有効化すると以下のマルウェアがダウンロード・実行されます。ダウンローダ型マルウェアです。
hxxp://monde[.]at/realst
IP: 47.74.148[.]105
https://www.hybrid-analysis.com/sample/8df2efce13a873cfde5a424b0d1c9bdc21056840644d8ee53fb843bfc6a9995e?environmentId=100
C2: hxxps://bdv4cc9rub[.]com

■二次ダウンロードファイル（ursnif）
上記ファイルを実行後、10分前後するとC2サーバへアクセス後、以下のマルウェアをダウンロード・実行されます。不正送金マルウェアursnifです。
hxxp://hispavila[.]com/total/privado/estyle.exe
https://www.hybrid-analysis.com/sample/6ffdb0dfa15d69f36c9efbfcd37b3ec2573d9199f9118b69254dfe3a336d414a/5b34ac847ca3e15d136d220c
C2: hxxps://vachiderk[.]com