この日で4/15,16,17,18と4日連続で、同一のアクターからと思われるursnif(B)のばらまきが発生しました。
※件名、本文、添付ファイル等複数ある可能性があり、全てを網羅出来てはいない可能性があります。ただし、通信先は同じと考えられます。

■件名（例）
Fw:

■添付ファイル
・DOC.js
https://www.virustotal.com/#/file/eb252e984ea45f9143d1c2b74fc5c503b5e29f8c13687a34927901788ccd7e24/details
・XLS.js
https://app.any.run/tasks/d1d9acc5-fc25-4aaa-b2fb-d848f1c5d057
https://www.virustotal.com/#/file/c5b6298fe7b111ff8da613091289b550a5773048491dfb914410b7e800767b8a/details
・1.doc.js
https://www.virustotal.com/#/file/21a11540298e4213077395cc5c8c4c52f52daea34760e088da8ef3fe0349341c/details
※ファイル名、ハッシュ共に複数種類を確認しています。
　ファイルはzipファイルやrarファイルとして添付され、その中にjsファイルが含まれているケースもあります。
　観測している範囲では、jsファイルがダウンローダのマルウェアです。jsファイルを実行すると、マルウェアに感染します。

■本文（例）
お世話になります。これは
解雇される従業員のリストです。

■User-Agent
Google Chrome
※次の通信先にアクセスする際にはこのUAを使用します。

■通信先
hxxp://news-medias[.]ru/report.exe
上記URLより不正送金マルウェアursnifをダウンロードし、実行します。

■ダウンロードされるファイル
#ursnif
dc174edefbcdbac15106b413ef1d23fe06398b034e7b4183f9aed36afb1bc4bb
https://app.any.run/tasks/efab54d1-c320-48b3-b1e4-f25a9192cf41
https://www.virustotal.com/#/file/2a453d8932de56f19f64053c55d441046df197dadad6b328875c85adbaf42fcc/details

■通信先（C2)
hxxp://11totalzaelooop11[.]club/jd/t32.bin ※IP未割り当てのため接続できない、x64環境ではt64.binへ接続
hxxp://adonis-medicine[.]at/images/～省略

以上