恐らく不正送金マルウェアursnifへの感染を狙ったと思われる、ダウンローダbeblohに感染する日本語のばらまきメールを観測しました。

■日時
2019/04/10（水） 16:00頃-

■件名(5種類)
4月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
メールに添付された請求書デー
添付ファイルをご確認下さい。

■添付ファイル(2種類)
「原本」・_nnnn.xls
※nnnnは数字4桁
SHA256: 9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d
https://www.virustotal.com/#/file/9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d/details

(n).「原本」・.nnnn.xls
※nは数字1桁、nnnnは数字4桁
SHA256: 9de470efde8b4bea45fd849e80118fc3f68d1754910066442d7ffc0ad64e7e68
https://www.virustotal.com/#/file/9de470efde8b4bea45fd849e80118fc3f68d1754910066442d7ffc0ad64e7e68/details

※マクロが含まれています。

■本文(例)

本文は幾つかのパーツの組み合わせで様々なパターンがあります。
詳細は以下を参照ください。
注意情報｜一般財団法人日本サイバー犯罪対策センター

■通信先
・sategano
hxxps://images2.imgbox[.]com/b0/81/gHAGqQjt_o.png
hxxps://i.imgur[.]com/fC5Pcd2.png

・#bebloh C2
hxxps://omnifoxt[.]com

なお、beblohのC2は上記に接続できない場合、DGAで以下の様に作成されます。

■プロセス
プロセスの繋がりは以下となります。
Excel.exe → splwow64.exe → cmd.exe → WMIC.exe → wmiprvse.exe  → PowerShell.exe → PowerShell.exe → explorer.exe

※画像は一部再実行しているため3つになっていますが、実際にはWMIC → wmiprvse のところだけプロセスの親子が切れ、PowerShell → PowerShellは繋がっています。

■ペイロード
explorer.exeにインジェクションするのは、ダウンローダ型マルウェアのbeblohです。
・DLL-bebloh
https://www.virustotal.com/#/file/6a1d7d3ca8db53318373705a988967d3a46bd2656aab4a0e035374a38525594a/detection

以上