◎9/14
件名:Voice Message from 数字12桁 - name unavailable
From:Voice Message <キーワード@Toドメイン>(を偽装)
キーワード部は、VoiceMessage、vmservice、vmなど。
本文:
Time:Thu, 14 Sep 2017 13:20:51 +0300
From: 015585523028 - name unavailable
Click<URLリンク> to listen Voice Message
URLリンクは、種々のドメイン/voice.html
voice.htmlをダウンロードすると、iframeでmsg.phpを開くもの。
msg.phpを保存してみるとVoiceMsg-639058.jsに。
jsファイルの中にibnysoa.exeやbkpudaf.exeのURL(一文字ずつ逆順)あり
添付ファイル:(なし)
つまり、メール中のリンクが種々/voice.html → iframeで何某/msg.php → VoiceMsg-639058.jsがダウンロード(数字は変わるかも) → ibnysoa.exeやbkpudaf.exeがダウンロード(と思われる)
この段階を踏むと、巷のexeの検出率が上がればmsg.phpを修正して別のexeを読ませる対応もありうるし、元々VoiceMsg-数字列.jsがランダム生成かもしれない。
もっとも数時間を経た今は、msg.phpがどうも404になってしまっている。
V,oiceMsg-639058.js
ibnysoa.exeのURL
bkpudaf.exeのURL