2019/02/25(月) 添付ファイル付不審メール(GandCrab/Phorpiex)の調査
2019年始より日本をターゲットに行われているランサムウェアGandCrabのばらまきメールが発生しました。
単純な作りであり、たいていのスパムメールフィルタで止まっているものと思われます。
ただ、非常に大量に継続的に実行しており、1日半以上たった現時点でも継続してばらまきメールが配信されています。配信は Phorpiex スパムボットが行っています。
■日時
2019/02/25 9:30~
■件名
日本の芸能人の名前など、全部で140種類くらいあります。
以下が参考になります。
Based on received GandCrab mail data from 25th 09:23AM to 26th 10:23AM (over 24H! and ongoing!), we got 78,701 mails and 140 subjects from 13,048IPs. IPs are maybe infected "Phorpiex". pic.twitter.com/Ak963tXByB
— moto_sato (@58_158_177_102) February 26, 2019
■本文
;)
■添付ファイル
PICnnnnnnnn-JPG.zip / PICnnnnnnnn-JPG.js
※nnnnnnnnは数字7-9桁
■添付ファイルサンプル
https://app.any.run/tasks/92bfde8d-f182-4375-80f7-2f9477a2c11a
https://app.any.run/tasks/d49ed4bf-2a87-4a33-9bcb-db757ff543a0
※同一のURLでも時間帯により別のハッシュのマルウェアが置かれています。
■通信先
hxxp://92.63.197[.]153/test.exe
hxxp://92.63.197[.]153/krabaldento.exe
hxxp://92.63.197[.]153/1.exe
hxxp://92.63.197[.]153/2.exe
hxxp://92.63.197[.]153/4.exe
hxxp://92.63.197[.]153/spm/1.exe
hxxp://92.63.197[.]153/spm/2.exe
hxxp://92.63.197[.]153/spm/3.exe
当初置かれていたtest.exeは #GandCrab v5.2でした。
その後、過去と同様に、ダウンローダ型のマルウェアに置き換えられ、1.exe - 4.exeを取得する動作を行うものになりました。
添付ファイルの通信先が変化し、krabaldento.exeに変わってからは、/spm/1.exe- 3.exeを取得するようになりまました。
どちらでも、以下が配置されています。
・1.exe - GandCrab v5.2 ランサムウェア
・2.exe - Phorpiex スパムボット
・3.exe/4.exe - CoinMiner
数が多いため、サンプルは以下を参照としてください。
なお、これまでのGandCrabの情報については、以下が参考となります。
以上です。