添付ファイル付の不審メールのばらまきがありました。添付ファイルを実行すると、不正送金マルウェアursnifに感染します。
記録としてインジケータ等を記載します。

■日時
2018/07/02(月) 6:10頃～

■件名
7月度発注書送付
invoice／証明書
注文書をお送りいたします

■添付ファイル
注文書_nnnn.xls
※nnnnは数字4桁
https://www.hybrid-analysis.com/sample/2459267409143a7723b6e0fea34ef8f4b4bc510ee37e48f422f3324d696aca18
添付ファイルはダウンローダで、開いてマクロを有効にしない限り、マルウェアには感染しません。
有効にすると、見えない形で以下のマルウェアをダウンロード・実行します。

■ダウンロードファイル
ダウンローダ型マルウェアのbeblohです。
hxxp://cebtedota[.]com/csshead
C2：hxxps://wigermexir[.]com
https://www.virustotal.com/#/file/7c13b9ab1ce7fdeeb8fbb235ed593e4affdedf317a6b7eac06ca3a64ab62daba/detection
https://www.hybrid-analysis.com/sample/7c13b9ab1ce7fdeeb8fbb235ed593e4affdedf317a6b7eac06ca3a64ab62daba

■二次ダウンロードファイル
不正送金マルウェア（バンキングトロジャン）のursnifです。
hxxp://socco[.]nl/galleris/apwijet[.]exe
C2：hxxps://siberponis[.]com
https://www.virustotal.com/#/file/322d231dde304d9778dc879b8fd3f126aa32e20873e9d6aedcd3530c22303c11/detection
https://www.hybrid-analysis.com/sample/7c13b9ab1ce7fdeeb8fbb235ed593e4affdedf317a6b7eac06ca3a64ab62daba
https://app.any.run/tasks/d9a55e69-9acc-4779-aaa4-d6400ad8c301