【簡易版】
前日と同じ通信先のursnifを取得する。
ただし、添付ファイルが.jsから.vbsへと変化している。

■日時
2019/06/04 9:00-

■件名
Fw:

■送信者
Haruto Watanabe
※偽装されたものであり、メールアドレスは様々

■本文
「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。
運送状況を、お知らせ致します。
ご注文番号：1569593
----------------------------------------------------
運送会社：佐川急便
詳細状況は添付資料にて送りますので、ご確認ください
アーカイブされたファイルのパスワードは123456です。よろしくお願いします。
Haruto Watanabe
+81 (ランダムな9桁の数字)」
※添付ファイルがパスワード付き出ない場合は「アーカイブされた…」の一文はありません。

■添付ファイル
doc.zip -> doc.vbs
https://www.virustotal.com/gui/file/53ab1831b5a6908bb96ec8468375d23df0a700c37cbc77209e8ce9b02d8ea6a8/detection
https://app.any.run/tasks/0a16273f-924d-41d3-a826-28d683d6beeb/
document.zip -> document.vbs
https://www.virustotal.com/gui/file/5ebf4bd25d3fb2d24a6d5388c35ac4530faf385e9d97a438538e3859e3c73a57/detection
kaku.zip -> kaku.vbs
1.zip -> 1.vbs
New document.zip -> New document.vbs

添付ファイルはパスワード付きもあり
doc.rar (passwd : 123456)
https://www.virustotal.com/gui/file/20f08a662eb4f69dd1401c8cab8231a7b02088f3e18242bf0dd0d9f7b324d049/detection
https://app.any.run/tasks/d2e5aa48-7520-4622-9de9-ef8549e7c50e/
https://www.virustotal.com/gui/file/5ebf4bd25d3fb2d24a6d5388c35ac4530faf385e9d97a438538e3859e3c73a57/detection
https://www.virustotal.com/gui/file/53ab1831b5a6908bb96ec8468375d23df0a700c37cbc77209e8ce9b02d8ea6a8/details
https://www.virustotal.com/gui/file/192f0c60efe93c4ac343a5f5687ce90a27de134d1abf1c74d22e2e3b1350fcb0/detection

■通信先
・ダウンロード
hxxp://big-partynew[.]ru/1.doc
https://www.virustotal.com/gui/file/ac05f3d359c0e6f71cd541bcb2bfc70a0f2c60d76536246bcddada1012382f30/detection
※拡張子偽装された不正送金マルウェアのursnifのexeファイルです。

・C2
hxxp://11totalzaelooop11[.]club　※IP未割り当てのためアクセス不可
hxxp://adonis-medicine[.]at/images/...

・パラメータ
version=217068
id=1002