地下鉄カード、LINE、をかたっていたアクターが今度はFacebookをかたって日本語のマルウェア付きメールをばらまいているのを確認しました。

■日時
2019/09/20

■件名
Facebook変更の提示
Facebook--変更の提示
[Facebook]--変更の提示

■送信者(詐称): 
"Facebook" <registration[@]facebookmail[.]com>

■メール内リンク先URL
hxxps://www.misoinuy[.]com/
過去、地下鉄カードやLINEをかたったマルウェアへ誘導するメールと同一IP上のサイトです。
途中で誘導先URLが以下に変わりましたが、挙動は同一です。
hxxps://www.fbmisngha[.]com/
https://urlscan.io/result/a409b7d6-26f9-4d73-b27f-421a52bfa4c9/

「申請表をダウンロードしてください」をクリックすると、以下のファイルがダウンロードされます。

■ダウンロードファイル
facebook.bk.exe
https://www.virustotal.com/gui/file/9c384b94a61d36d6291b242e903c5ca503a8f24bc636f1323d45999bcaf5b612/detection
QuasarRATです。
実行し、表示される中国語版notepad.exeを閉じると、powershellが実行されます。

facebook.bk.exeは以下の3ファイルをドロップします。
・C:\Users\Public\Music\Applem.exe
MD5:  D224FFD09DFAAF1AAC69D445FB8948F2
PDB:  d:\XunYouPlatForm_New\Output\queryInstallLsp.pdb

・C:\Users\Public\Music\queryInstallLsp.dll
MD5:  DE4FEA040E27A130EC4F3A2F3A2FAC53
executable
・C:\Users\Public\Music\temp.jpg

Applem.exeは以下に自身のコピーを作成します。
・C:\Users\Public\Music\svchost.exe
MD5:  D224FFD09DFAAF1AAC69D445FB8948F2
PDB:  d:\XunYouPlatForm_New\Output\queryInstallLsp.pdb

また、以下のようにレジストリを変更し、自身の永続化を図ります
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: getipValue: C:\Users\Public\Music\Applem.exe

■通信先
・IPアドレス確認
（正規サイト）http://ip-api.com/json/
・C2
154.221.22[.]25:8888

■全体挙動
https://app.any.run/tasks/b3894100-42ec-4bff-a30e-a9999970efad/
https://app.any.run/tasks/179c904b-b2f2-4dc3-a332-651144debc25/

■備考
なお、前回のばらまきから今回のばらまきの間に、同一IPでゆうちょのフィッシングサイトが稼働していた時期もあったようです。
件名：「振替受払通知票Web照会サービス」でご確認ください」
リンク先：hxxps://www.koniure[.]com
（参考）
https://twitter.com/wato_dn/status/1174866553180844034