先週の4/15,16,17,18,22に引き続き、同一のアクターからと思われるursnif(B)のばらまきが発生しました。

■日時

2019/04/25(木) 11:00-

■件名
Re:
※今回はこれまでと件名が異なります。

■送信者名
Takashi Yamaguchi
※恐らく詐称したもの。送信元メールアドレスは様々

■本文
「期日超過支払いの請求書添付ファイル
詳細状況は添付資料にて送りますので、ご確認ください

アーカイブ されたファイルのパスワードは123456です。よろしくお願いします。

Takashi Yamaguchi」

※本文にはパスワードが記載されていますが、添付のzipファイルにはパスワードはかかっていません。

■添付ファイル
https://www.virustotal.com/#/file/ba1fd6dd130d91182f9d0eb9e0c542b0982b87b4213bed08d0ccbd7827074f5c/details
https://www.virustotal.com/#/file/fd94742984aa544e655443fa4dad758288aaec94a0a10a9049c65d7387a7079a/details
new.zip -> 2.js
1.zip -> 2.js
s2.zip -> 2.js
※圧縮ファイルの中にはjsファイルが含まれています。
　これ以外にも添付ファイルの種類が存在する可能性があります。
　jsファイルはダウンローダ型マルウェアで実行すると以下の通信先からマルウェアを取得し、感染します。

■通信先（マルウェア）
hxxp://news-medias[.]ru/report.exe
https://www.virustotal.com/#/file/84a469121b3178ce52b18421e26efe685eac3b04c7306dfed433ed496c155c6d/detection
ダウンロードされるのは、不正送金マルウェアのUrsnif（別名Dreambot）です。※4/18,22と同一ドメイン、パスですが、ハッシュは異なります。

■上記通信時User-Agent：
Google Chrome
※上記ダウンロード先にアクセスする際にはこのUAを使用します。

ursnifはExplorer.EXEにインジェクションします。感染すると、以下へ通信を行います。

■通信先
感染後の通信先は以下です。
・初期通信
　※接続しているIPを調査するための通信。一度のみ。
hxxp://curlmyip.net
・追加ファイル取得の通信
　※IP未割り当てのためDNS通信のみ発生し接続できない。64bit環境ではt64.binへ接続
hxxp://11totalzaelooop11[.]club/jd/t32.bin
・C2
　※/images/はエンコードされた文字列で、拡張子は.gif,.bmp,.png等で定期的に発生
hxxp://adonis-medicine[.]at/images/～省略

■ursnifの感染後の永続化
ursnifはPCのログイン時の自動実行ファイルとしてレジストリに設定することで、実行され続ける環境を設定します。
ursnifのファイルは「C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\(ランダムなフォルダ)\」配下にランダムな名前でコピーされます。

■ursnif感染後の無害化
ursnif感染後は上記自動起動のレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除をすることで、次回ログイン時以降、実行されなくなります。
また、実行中のursnifの削除はExplorer.EXEを停止後、または、セーフモードで起動後に、マルウェア本体（レジストリの値のパスに存在する）の削除が必要となります。

以上