2019/09/22(日) 『Facebook変更の提示』の調査
Facebookをかたった日本語のばらまきメールの3日目です。
■件名
【Facebook】変更の提示
■送信者(詐称)
"Facebook" <registration[@]facebookmail[.]com>
■URL
hxxps://www.king-fackbook[.]com/
IP: 103.100.211[.]61
https://urlscan.io/result/3d479fe9-5590-4cfb-8ecd-04d5674ff487/
https://app.any.run/tasks/d2f84050-38f1-411b-9c4e-4c31622ca1be/
途中でURLが変更になりました。
hxxps://www.ko-fackbook-sming[.]com/
IP:103.100.211[.]61
https://urlscan.io/result/dd0c6b13-70aa-45cf-938b-762f7ff633aa/
※IPはwww.king-fackbook[.]com、www.unm-fackbook[.]comと変わらずです。
■挙動
https://app.any.run/tasks/e99587c1-08a1-4a6d-8235-5e3276d09ebe/
https://app.any.run/tasks/bc80fc19-7376-48fa-84e4-eed1bacaebb5/
ダウンロードされるzipファイルの中にはlnkファイルがあります。
lnkファイルの通信先は以下です。
http://103.100.211[.]61/cklzI56WuqpFRzFV/Setup.msi
このファイルからインストールされるファイル Applem.exe は過去数日と同じhashです。
通信先は以下と考えられます。
154.221.22[.]25