2019/4/15に来たものと同一と思われるursnif(B)のばらまきが発生しました。
なお、昨年行われていたursnif(B)と同一のアクターと思われますが、配信経路は異なっていると考えられます。また、配信規模は小さくなっています。

※件名、本文、添付ファイル等複数あり、全てを網羅出来てはいないと思われます。ただし、通信先は同じと考えられます。

＜簡易版＞

■日時
2019/04/16 10:00-

■件名(2種類)
Fw:
Payment deadline

■本文
請求書支払い期限過ぎた

■添付ファイル例(3種類)
doc.doc.zip -> doc.doc.js
d.doc.zip -> d.doc.js
xls.rar -> xls.js
※添付はzipやrar等の圧縮ファイルで、解凍した中に含まれる.jsファイルがダウンローダ

■添付ファイルサンプル
473c5c266e29c45fb602abc3170b2f7a7ad8f4ab37c5aad689156c09f6546643
https://app.any.run/tasks/f4e43255-81ea-4eb9-9d53-25d44625f62b

■通信先（ダウンロード先）
hxxp://guebipk-mvd[.]ru/readx.exe

■User-Agent
Google Chrome

■ペイロード
ursnif(Dreambot)
cab3cc3cef5ab8dd40dfb83d25422bcbf9e3a7d424b0824ed6c756aebeaaf787
https://app.any.run/tasks/0543c458-936c-4777-a09c-620edcd34dfa

■通信先（C2）
hxxp://11totalzaelooop11[.]club/jd/t32.bin ※IP未割り当て
hxxp://adonis-medicine[.]at/images/(以下略)