添付ファイル付のメールで不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。

■日時
2018/7/3(水)

■件名
写真送付の件
写真添付

■添付ファイル
2018.[※].写真.xls
※にはメールアドレスの@の前の部分(name@domain.comの場合name)が入ります
https://www.hybrid-analysis.com/sample/213cadcebaef97e5ef8d96d14f4d6a96bfc59f1273e100c7e86907cff81154c8/5b3b24737ca3e170117e559c
添付ファイルを開きマクロを有効にしない限り、マルウェアには感染しません。安全です。
マクロを有効にすると、見えないところでマルウェアをダウンロード・実行します。

■ダウンロードファイル
ダウンローダ型マルウェアのbeblohです。
取得先：hxxp://cebtedota[.]com/03062018
https://www.hybrid-analysis.com/sample/2a3d33977c61cb3a40bcee22e804e602651a09911398a56765220e27aacdbc78?environmentId=100
C2：hxxps://wigermexir[.]com
beblohが実行され10分前後するとbeblohはC2へアクセスし、以下の追加マルウェアをダウンロードします。

■二次ダウンロードファイル
不正送金マルウェアのursnifです。
取得先：hxxp://socco[.]nl/galleris/datecenter[.]exe
https://www.hybrid-analysis.com/sample/d4a3de1744591ba52383136178381227b167f872a104b2234385fc32a7a7eafe?environmentId=100
C2：hxxps://siberponis[.]com

なお、同日に以下の件名でも配布されていますが、マクロが動作しないため無害です。
※失敗作
■件名
イメージ送付

■添付ファイル
（例）IMG_4207-2400-A4.xls
https://www.hybrid-analysis.com/sample/a2da8194ed5f8e0a2786a597b63b59231f506e91c77599d7cbc0d10d89d9db07/5b3b1c627ca3e14c580a5735