2019/08/29(木) 『地下鉄カードのポイントの現金返還キャンペーン』の調査
東京メトロをかたった(小規模な)ばらまきメールの第二弾がありました。
ダウンロードされるファイルを少し細工したのみで、通信先等は変化ありません。
■日時
2019/08/29(火)
■件名
地下鉄カードのポイントの現金返還キャンペーン
■送信者
【東京メトロ】 <info[@]tokyometro-train-mail[.]jp>
■誘導先URL
hxxps://www[.]tokyometro-jifen-jp[.]com/
IP: 154.221.22[.]233
※前日と同一
■DL URL
hxxps://www[.]tokyometro-jifen-jp[.]com/明细[.]rar
https://app.any.run/tasks/5ee6ff12-5303-45e5-9e89-fd44234376a1/
■rarファイルに含まれるファイル
・Melody.exe
https://www.virustotal.com/gui/file/f48c92b46f9bb74e2035091b2bb789496eb97ff259da4ed2b4b5fcd26221568e/details
・nw_elf.dll
https://www.virustotal.com/gui/file/853f8979582040b82691a03675fc194d39b2a889e648a39f75784347e6bc5df6/details
exeはdllをサイドローディングするためのものと考えられます。(exe単体だと無害?)
DLLは8/27の gh0stcringe のexeファイルをDLL化しただけのマルウェアと考えられます。
■通信先
154.221.22[.]25 (1988/TCP)
150.109.37[.]173 (1987/TCP)
通信先に変化はありません。