約1月ぶりにバラマキがありました。
件名が日本語のものになっています、通信先ドメインは6/19のものと同一です。

■日時
2019/07/16 4:30頃 - 

■件名
支払文書

■添付ファイル
Invoice-nnnnnn.zip -> Invoice-nnnnnn.js
※nnnnnnは数字6桁
412b8b20401348383085f052392d5e29
https://app.any.run/tasks/e1ef1ff0-3971-4bcc-af3d-e91b9058566a/

■通信先
・ペイロード取得先
bibicity[.]ru/little.bin
a7e73f043c62a825e41fbb2e31625111
https://www.virustotal.com/gui/file/1d8d741cc2ab2c60199094e9e12213f0496a9fe1107140e4e37ffe6e633e1843/detection
https://app.any.run/tasks/4e7ba79b-44cc-48a8-aeda-65171a209a5b/
不正送金マルウェアのursnif の亜種の dreambotです。

・C2
hxxp://marcoplfind[.]at/images/

■コンフィグ
version=217068
id=1006