不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様3社 URLアクセスした
弊社お客様0社

2020/05/12
※2020/05/15 更新
05/11から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスを検知

件名：
Your Intuit refund was processed.
UPS Invoice Notification


添付ファイル名：
nnnnnnnnnn.xls
00nnnnnnnnn.xls
1nnnnnnnnnnnnnnn.xls

※太赤字の「n」はランダムな英数字が入ります。


添付ファイルハッシュ値：
0a383870010db689605e8aac2fd1a9ad284558ef9eccc6d07bdc9dbbc573480f
80d0e39bbb4f9ecf44d39fc1dd8fc1f94830038325f531556eca8cda843441a5
e9880c5c608141c8ec12ce1a8d14652731583e4055f74ce2727afe8c3ea15cb6

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://nrokadorc[.]com/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp(s)://vitabenar[.]com/
hxxps://vitabenanr[.]com/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。

▽i-FILTER
hxxps://nrokadorc[.]com/
カテゴリ状況：05月11日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

hxxp(s)://vitabenar[.]com/
hxxps://vitabenanr[.]com/
カテゴリ状況：05月13日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]


（※1）「推奨フィルタ―設定」でブロック可能