Facebookをかたった日本語のばらまきメールの3日目です。

■件名
【Facebook】変更の提示

■送信者(詐称)
"Facebook" <registration[@]facebookmail[.]com>

■URL
hxxps://www.king-fackbook[.]com/
IP: 103.100.211[.]61
https://urlscan.io/result/3d479fe9-5590-4cfb-8ecd-04d5674ff487/
https://app.any.run/tasks/d2f84050-38f1-411b-9c4e-4c31622ca1be/

途中でURLが変更になりました。

hxxps://www.ko-fackbook-sming[.]com/
IP:103.100.211[.]61
https://urlscan.io/result/dd0c6b13-70aa-45cf-938b-762f7ff633aa/
※IPはwww.king-fackbook[.]com、www.unm-fackbook[.]comと変わらずです。

■挙動
https://app.any.run/tasks/e99587c1-08a1-4a6d-8235-5e3276d09ebe/
https://app.any.run/tasks/bc80fc19-7376-48fa-84e4-eed1bacaebb5/

ダウンロードされるzipファイルの中にはlnkファイルがあります。
lnkファイルの通信先は以下です。

http://103.100.211[.]61/cklzI56WuqpFRzFV/Setup.msi

このファイルからインストールされるファイル Applem.exe は過去数日と同じhashです。

通信先は以下と考えられます。
154.221.22[.]25