bomb_log

セキュリティに関するbom

2018/07/04(木) 『【速報版】カード利用のお知らせ(本人ご利用分)』『【楽天カード】カードご請求金額のご案内』の調査

楽天をかたったメールでマルウェアへの感染を狙った不審メールのばらまきを観測しました。

 

■日時
2018/7/4(木)

■件名
【速報版】カード利用のお知らせ(本人ご利用分)
楽天カード】カードご請求金額のご案内

■メール内リンク先 
(例)
hxxp:bm.ourmonthinitaly[.]com
その他、195.123.238[.]14 に解決されるドメイン

■ダウンロードされるファイル
上記ドメインにアクセスすると以下のファイルがダウンロードされます。
もっと詳しくの情報はこちら.PDF.js
https://www.hybrid-analysis.com/sample/c94a4bc939685c10181aa25d548bd4aa93866d9ea6640ca6aa8b8f812bd1d62b?environmentId=100
ファイルを実行しない限り、マルウェアには感染しません。

■二次ダウンロードファイル
上記ファイルを実行すると、以下の不正送金マルウェアursnifに感染します。
hxxp://gq.takeitalyhome[.]com/032901.bin
https://www.hybrid-analysis.com/sample/a93182cdcde8030cac64378da0406c7f628486ec1cf41b6e49cf5a551c0ab837
https://cape.contextis.com/analysis/11963/

■C2
hxxp:pingdns[.]xyz
212.92.98[.]175
hxxp:kp.reslifefurniture[.]com
176.9.164[.]253