Facebookをかたっていたものが、同日中にWebmoneyをかたったものに変化しました。

■日時
2019/09/22 12:30-

■件名
Webmoneyご購入の受注確認

■送信者(詐称)
ウェブマネー <mailmagazine[@]webmoney[.]ne[.]jp>

■URL
hxxps://www.kopsmg[.]com/
IP: 103.100.211[.]61
https://urlscan.io/result/f274a223-3d6c-4b7c-895f-e2237b9a6e66/

「ご購入をキャンセル」から以下がダウンロードされます。
ご購入をキャンセル.zip
d1f0c13691bb0efee80d518fe908a690
https://app.any.run/tasks/6adad480-a22c-46f6-bdda-6104311c1d32/

中には ご購入をキャンセル.lnk というショートカットファイルが含まれています。
ショートカットのリンク先は以下です。

■通信先
hxxp://103.100.211[.]61/cklzI56WuqpFRzFV/Setup.msi

上記により、以下がインストール、実行されます。
・C:\Users\Public\Music\Applem.exe
d224ffd09dfaaf1aac69d445fb8948f2
(pdb path)
d:\XunYouPlatForm_New\Output\queryInstallLsp.pdb
・C:\Users\Public\Music\queryInstallLsp.dll
a9be886ec3f4104a94285932ba5a4cb7
※Applem.exeに読み込まれます

Applem.exeが実行時に自身のコピーを同フォルダに格納し、実行します。
・C:\Users\Public\Music\svchost.exe
d224ffd09dfaaf1aac69d445fb8948f2
(pdb path)
d:\XunYouPlatForm_New\Output\queryInstallLsp.pdb

#QuasarRAT です。

■C2通信先
154.221.22[.]25:8888