2019/08/30(金) 『地下鉄カードのポイントの現金返還キャンペーン』の調査
東京メトロをかたってgh0stcringeへ感染させるメールの第三弾です。
■日時
2019/08/29 19:30 - 2019/08/30 12:00頃
■件名
地下鉄カードのポイントの現金返還キャンペーン
■送信者(詐称)
【東京メトロ】 <info[@]tokyometro-train-mail[.]jp>
■メール内リンクURL
hxxps://www.juminkehe[.]com/
IP: 154.221.22[.]233
ドメインは変わりましたが、ホストされているIPは同じです。
■URL遷移
「次へ進む」をクリックすると以下の遷移により、ファイルがダウンロードされます。
hxxps://www.juminkehe[.]com/download -> 302
hxxps://www.juminkehe[.]com/明細書のファイル圧縮パッケージ.exe
https://app.any.run/tasks/ad0da9a0-dcc4-4015-bd09-3b170d05574b/
https://www.virustotal.com/gui/file/1615a0fb3ee691e57bf0e8218f0f5ebbb1b6433f17a19d960b3e9b271089e86e/details
昨日のrarに含まれていた二つのファイルをドロップしており、動作は同じです。
以下に通信するgh0stcringeです。