Webmoneyをかたってマルウェアへ誘導するメールの第二弾です。

■件名
Webmoneyご購入の受注確認

■送信者（詐称）
ウェブマネー <mailmagazine[@]webmoney.ne[.]jp>

■誘導先URL
hxxp://185.251.249[.]172/
→リダイレクト
hxxps://www.mowebmong-you[.]com/
IP:103.100.211[.]61
https://urlscan.io/result/aee1544a-77f9-451f-a475-f17808ab8d97/
リダイレクトを挟んだ意図は不明です。
>ご購入をキャンセル からマルウェアがダウンロードされます。

■ファイル
webmony.msi
2938d162928b615a12f8385c18cb4fa2
https://app.any.run/tasks/ba51a788-395b-427e-92a5-4dff632e9bda/
msiファイルによりインストールされるものの中に #Gh0stCringe マルウェアがあります。
インストール中に実行されるのがMiarcsofttwebmoney.exeです。Miarcsofttwebmoney.exe
0a7ab8d1f8419c58cb7f0fe4c3620303
・pdb
D:\jenkins\workspace\ci.arphasdk.build\qtc_out\Release\arphaCrashReport.exe.pdb
・LegalCopyright
Copyright (C) 2018 Alibaba Group. All Rights Reserved
・OriginalFilename
arphaCrashReport.exe

このexeが以下のDLLを読み込んでいます。
arphadump.dll
3cf47cd8ad66f5e41d98f11521836f76
・pdb
C:\Users\pc\Desktop\LAPCOADLL\Release\LAPCOADLL.pdb

■挙動
https://app.any.run/tasks/63bea89d-d87f-41b0-b092-4a5edc172804/

■通信先
154.221.22[.]25:3336
ポートは場合により異なりますが、C2のIPは過去、地下鉄カードの頃から変化していません。