bomb_log

セキュリティに関するbom

2019/08/30(金) 『LINE重要ヒント保護メカニズム』の調査

東京メトロをかたってマルウェアへ誘導していたメールが、LINEをかたったものに変わっていますが、誘導先のドメインは同じであり、同様にgh0stcringeへ感染を狙ったものです。

 

■日時
2019/08/30(金)18:00頃-

■送信者(詐称)
"LINE" <do_not_reply[@]line[.]me>

■件名
LINE重要ヒント保護メカニズム

■メール誘導先URL
hxxps://www[.]juminkehe[.]com
IP: 154.221.22[.]233
(参考)サイトスキャン結果
https://urlscan.io/result/15dc88fc-5a7a-47df-9d65-ad221808750b/

 

サイト内のダウンロードをクリックすると、以下の2ファイル(以前と同じ)がダウンロードされ、管理者権限で実行するように誘導するページへと遷移します。
https://twitter.com/NaomiSuzuki_/status/1167460943824949248

・Melody.exe
https://www.virustotal.com/gui/url/d968967ab94412cbfe6400d85f081b85b582873ee91051eaef6b69c1f2167af3/detection
https://www.virustotal.com/gui/file/f48c92b46f9bb74e2035091b2bb789496eb97ff259da4ed2b4b5fcd26221568e/detection
・nw_elf.dll
https://www.virustotal.com/gui/file/853f8979582040b82691a03675fc194d39b2a889e648a39f75784347e6bc5df6/details