4/25にもあったばらまきと同様、5/8にもursnif への感染を狙ったも不審メールのばらまきを観測しています。

■日時
2019/5/8 11:30 - 

■件名
Fw:

■メール送信者（HeaderFrom）
"Takashi Suzuki"
※返信先メールアドレスはバラバラであり、詐称しているものと思われます。

■本文
添付ファイルがパスワードが付いていないものといるもので、2パターンを観測しています。
「立ち退き通知書
　詳細状況は添付資料にて送りますので、ご確認ください

　Takashi Suzuki」

本文の添付ファイルはパスワード(123456)付きでした。
「立ち退き通知書
　詳細状況は添付資料にて送りますので、ご確認ください
　アーカイブ されたファイルのパスワードは123456です。よろしくお願いします。
　Takashi Suzuki」

本日は前半にパスワードなしのものを、後半にパスワード付きのものをばらまいていたのかもしれません。パスワード付きのパターンは16:00頃まで受信を確認しています。

■添付ファイル
doc.rar -> 1.doc.js
doc.zip -> 1.doc.js
1.rar -> 1.js
1.zip -> 1.js
2019.rar -> 2019.js
2019.zip -> 2019.js
1.doc.rar
1.doc.zip
20190508.rar
20190508.zip
0805.rar
0805.zip

これ以外にも添付ファイル名が存在する可能性があります。
圧縮ファイルの中身まで確認しているものは中のjsファイル名も記載しています。
一部のファイル名は以下などを参考として記載しています。

参考：https://www.daj.jp/bs/d-alert/bref/?bid=23

■サンプル
1.doc.rar -> 1.doc.js
https://app.any.run/tasks/07b1e1a7-b452-4704-859c-f6d0c7dbe9e4/
2019.rar -> 2019.js
https://app.any.run/tasks/d3ee2a62-62a6-479d-a3a2-e362843fb331/

■通信先
圧縮ファイルに含まれるjsファイルを実行すると、以下からファイルをダウンロードします。このファイルはリネームされ、実行されます。
これは不正送金マルウェアursnif(Dreambot)です。
・ダウンロード
hxxp://registry-cloud[.]ru/x.exe
※ダウンロードする時間によりハッシュが異なる可能性があります。
・ef5d61c73ae869e203ad1f7451ad7cdfad411a617290d91322ef8831d59fa0a2
https://app.any.run/tasks/2e26d1e1-e2dc-46c7-b5d7-62dbf1e3c37f/
・d6600f71bb227add6e45327cbc8635a4c98ac1037aa3a85f15a701939a4d94fc
https://app.any.run/tasks/da7bc04c-2a83-4740-b0ab-00461d60a86c/

ursnifは以下にアクセスします。

○ursnif C2
hxxp://11totalzaelooop11[.]club/jd/t32.bin
　※IPアドレスが割当ないため、実際にアクセスは発生せず、dns問い合せのみです。
hxxp://adonis-medicine[.]at/images/

※4/15から来ているのと同じC2通信先です。

■ursnifの感染後の永続化
ursnifはPCのログイン時の自動実行ファイルとしてレジストリに設定することで、実行され続ける環境を設定します。
ursnifのファイルは「C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\(ランダムなフォルダ)\」配下にランダムな名前でコピーされます。

■ursnif感染後の無害化
ursnif感染後は上記自動起動のレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除をすることで、次回ログイン時以降、実行されなくなります。
また、実行中のursnifの削除はExplorer.EXEを停止後、または、セーフモードで起動後に、マルウェア本体（レジストリの値のパスに存在する）の削除が必要となります。

以上