bomb_log

セキュリティに関するbom

2018/07/5(木) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

メール内のリンクよりマルウェアをダウンロードさせるタイプの不審メールのばらまきがありました。
メールの宛先には複数のアドレスが入っているので、不審と思えるかと思います。

 

■日時
2018/7/5 14:55頃~

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
order[@]http://rakuten.co [.]jp

■メール内リンク
(例)hxxp://fj.therealityofyourgreatness[.]com/
他も全てIPは195.123.238[.]14

■ダウンロードファイル
もっと詳しくの情報はこちら.pdf.js
https://www.hybrid-analysis.com/sample/48e97bd1819ba5562b297532608b6b3ae5bff2b2d7d3ec47a0221f3f5c55f58b?environmentId=100
ファイルを実行しない限り、マルウェアには感染しません。

■追加でダウンロードされるマルウェア
上記ファイルを実行すると以下マルウェアを取得・感染します。不正送金マルウェア(バンキングトロジャン)ursnifです。
hxxp://gq.takeitalyhome[.]com/032901.bin
https://www.hybrid-analysis.com/sample/a93182cdcde8030cac64378da0406c7f628486ec1cf41b6e49cf5a551c0ab837?environmentId=100