東京メトロをかたってgh0stcringeへ感染させるメールの第三弾です。

■日時
2019/08/29 19:30 - 2019/08/30 12:00頃

■件名
地下鉄カードのポイントの現金返還キャンペーン

■送信者(詐称)
【東京メトロ】 <info[@]tokyometro-train-mail[.]jp>

■メール内リンクURL
hxxps://www.juminkehe[.]com/
IP: 154.221.22[.]233
ドメインは変わりましたが、ホストされているIPは同じです。

■URL遷移
「次へ進む」をクリックすると以下の遷移により、ファイルがダウンロードされます。
hxxps://www.juminkehe[.]com/download -> 302
hxxps://www.juminkehe[.]com/明細書のファイル圧縮パッケージ.exe

https://app.any.run/tasks/ad0da9a0-dcc4-4015-bd09-3b170d05574b/
https://www.virustotal.com/gui/file/1615a0fb3ee691e57bf0e8218f0f5ebbb1b6433f17a19d960b3e9b271089e86e/details

昨日のrarに含まれていた二つのファイルをドロップしており、動作は同じです。
以下に通信するgh0stcringeです。

■通信先
154.221.22[.]25 (1988/TCP)
150.109.37[.]173 (1987/TCP)