この記事は以下の記事の続編です。

sec-owl.hatenablog.com

記事を書いた後も、継続して1/17-18、1/27-30、2/1にスパムのばらまきは発生しています。
前回同様、添付ファイル名、懸命、本文、接続先をまとめました。黄色セルは変更があった箇所です。

件名は、日本の女優、歌手の名前が入ったものが出現しました。
日本を標的としていると考えて良いものと思われます。
その割には、件名は英語、本文は顔文字のみ、と本気で感染を狙っているかのようなメールには見えず、攻撃者の意図がよくわかりません。

1/17以降は、紐づくIPアドレスが変更となっています。
前回同様、1次接続先がダウンローダ型マルウェアとなっており、2次接続先のダウンロードを試みます。
2次接続先は複数設定されていても、実際に落としてくるべきマルウェアを配置していないことが多いです。
主に落としてくるのは、以下が多い気がします。AnyRunで動いている検体を見てのイメージです。

1.exe ： GandCrab
2.exe ： Phorpiex
3.exe ： CoinMiner

なお、同じパスに格納されているファイルでも、時によって、別のハッシュ値のファイルとなっています。
以下は直近のダウンローダのパスを継続監視しているものですが、3日間で6種のハッシュ値が登録されています。

urlhaus.abuse.ch

変化の内容を確認したわけではありませんが、メールの件名などの内部で持っている情報を変えたか、ハッシュ値を変えるための細工をしただけで動作は変わっていないか、だと思われます。

前回以降では、以下の記事で本キャンペーンについて触れられています。

www.welivesecurity.com

eset-info.canon-its.jp

動きは変わっていないため、継続調査と言っても、スパムメールの情報程度しか記載するようなことがありませんでした。早くマルウェア解析による、もう少し詳しい内容が書けるようになりたいところです。

インジケータ

■添付ファイル名
Love_You_2019_nnnnnnnn-txt.zip / Love_You_2019_nnnnnnnn-txt.js
PICnnnnnnnn2019-jpg.zip / PICnnnnnnnn2019-jpg.js
■件名
:)
;)
:-)
;-)
:D
:-D
;D
:*
;*
:-*
8)
8-)
Aya Ueto ;)
Ayumi Hamasaki ;)
Erika Sawajiri ;)
Erika Toda ;)
Hikaru Utada ;)
Kyary Pamyu Pamyu ;)
Kyoko Fukada ;)
Maki Horikita ;)
Misia ;)
Namie Amuro ;)
Nozomi Sasaki ;)
Sheena Ringo ;)
Yui Aragaki ;)
Yuriko Yoshitaka ;)
Do you like it?
Do you like my photo?
I love you!
Just for you
Keep it private!
Love
My photo
My photo for you
Our photo
Photo of us
Seen this photo?
Take a look please
You are my love
Your opinion needed
■本文
:*
;)
:)
■通信先
hxxp://92.63.197[.]153/mcdonalds.exe
hxxp://92.63.197[.]153/blowjob.exe
hxxp://92.63.197[.]153/krabler.exe
hxxp://92.63.197[.]153/m/1.exe
hxxp://92.63.197[.]153/m/2.exe
hxxp://92.63.197[.]153/m/3.exe
hxxp://92.63.197[.]153/m/4.exe
hxxp://92.63.197[.]153/m/5.exe
hxxp://92.63.197[.]153/1.exe
hxxp://92.63.197[.]153/2.exe
hxxp://92.63.197[.]153/3.exe
hxxp://92.63.197[.]153/4.exe
hxxp://92.63.197[.]153/5.exe