5/8にも発生していた、不正送金マルウェアursnifへの感染を狙ったメールのばらまきを5/21にも確認をしています。
このアクターは過去（2018年12月まで）に楽天をかたったメールのばらまきを行っていましたが、今回から再び、楽天をかたったメールをばらまくようになりました。ただし、以前と違って正規のメールとは程遠いため、怪しいと判断できる人は多いかと思います。

■日時
2019/05/21 8:00頃 -

■件名
Fw:

■メール送信者（HeaderFrom）
"Akira Suzuki"
※返信先メールアドレスはバラバラであり、詐称しているものと思われます。

■本文
「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。

　運送状況を、お知らせ致します。

　ご注文番号：1561932
　----------------------------------------------------
　運送会社：佐川急便

　詳細状況は添付資料にて送りますので、ご確認ください

　Akira Suzuki
　+81 (ランダムな9桁の数字)」

■添付ファイル
・document.zip -> document.js
https://app.any.run/tasks/19befd79-761f-403d-9b66-1c65a99557e4/
・doc2.vbs
https://app.any.run/tasks/bc8ed2a8-db62-4c26-8353-334269b74bcf/
・document.zip -> document.js

他　（参考 https://www.daj.jp/bs/d-alert/bref/?bid=24&year=2019&month=5）
1.doc.rar
1.doc.zip
1.rar
1.zip
2233.zip
2765.zip
96.zip
Document.zip
INVOICE.zip
doc2.zip
doc3.zip
document.zip
new document.zip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■ダウンローダ通信先
・ダウンロード
hxxp://www.binance-forever[.]ru/x.doc
https://www.virustotal.com/#/file/317348087d3800c7ae9a08704356adad19f625f664714cc36ec203650d6883cc/details
https://www.virustotal.com/#/file/74843b188abbd998b2f77c1cec4444b551dff65381016112454d8f764c05542c/details
https://app.any.run/tasks/fd1a5698-fb53-4ef3-bc3d-b1fbe104287d/
　※実行ファイルであり、不正送金マルウェアのursnifです。

■ursnif通信先
感染後の通信先は以下です。
・初期通信
　※接続しているIPを調査するための通信。一度のみ。
hxxp://curlmyip.net
・追加ファイル取得の通信
　※IP未割り当てのためDNS通信のみ発生し接続できない。64bit環境ではt64.binへ接続
hxxp://11totalzaelooop11[.]club/jd/t32.bin
・C2
　※/images/はエンコードされた文字列で、拡張子は.gif,.bmp,.png等で定期的に発生
hxxp://adonis-medicine[.]at/images/～省略

※4/15から来ているのと同じC2通信先です。

■Webインジェクション対象
Webインジェクションの対象となるサイトの情報も取得できました。
今回確認したところ、昨年7月頃と比較し、国内の対象サイトは大きな変化は見られませんでした。
対象となっているのは、銀行77サイト、カード会社12サイト、仮想通貨事業者6サイト、Googleアカウント、アマゾン、paypalでした。
また、何故か日本のサイト以外に、イタリア11サイト、ブルガリア11サイト、ポーランド8サイトが含まれていました。
昨年分析していた際には、日本国内のサイトのみの設定となっていました。
どうやら現在ではどこの国に対しても同じ対象サイトの設定を与えているものと考えられます。

■ursnifの感染後の永続化
ursnifはPCのログイン時の自動実行ファイルとしてレジストリに設定することで、実行され続ける環境を設定します。
ursnifのファイルは「C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\(ランダムなフォルダ)\」配下にランダムな名前でコピーされます。

■ursnif感染後の無害化
ursnif感染後は上記自動起動のレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除をすることで、次回ログイン時以降、実行されなくなります。
また、実行中のursnifの削除はExplorer.EXEを停止後、または、セーフモードで起動後に、マルウェア本体（レジストリの値のパスに存在する）の削除が必要となります。

以上