malware_mailの日記

個人メールアドレスに届いたマルウェアメールを記録

◎12/15

件名:Scan

From:FIRSTNAME <FIRSTNAME_LASTNANE@適当なドメイン>

本来の本文:


--
Thanks & Regards
FIRSTNAME LASTNAME
 

 本来の添付ファイル:Scan_00数字4桁.7z

7zファイルの中身は、Scan_00別の数字4桁.vbs

 

MIME記述ミスで本文も添付ファイルも表示されません。

https://www.virustotal.com/#/file/28e0c08d9a26f3b007dad54ac36c4672c222d2a57c97989c0e927eba3fcf929b/detection

 

https://www.virustotal.com/#/file/8dbd22a4f4cb30c2a9d3da12f8d9a57df2a299f1553ab70eb0fe8dd29363d59d/detection

 

https://www.virustotal.com/#/file/317dd50ecd2ea81cdcb5cf2fc9230163153411c3fdcfa12f41abf2dd78d13ea3/detection

 

 

 

 

 

広告を非表示にする

◎12/14

件名:カード利用のお知らせ

From:楽天カード株式会社 <support@mail.rakuten-card.co.jp> (を偽装)

本文:

 

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【重要】カスタマセンターからのご案内

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

平素は、楽天カードをご愛顧賜り誠にありがとうございます。

当社からの重要なご案内をお送りいたしますので、

下記内容をご確認いただきますよう、何卒お願い申し上げます。

ただいま、お客様からの変更処理に基づいて会員登録情報が変更されました。

万が一、本メールの内容に覚えがない場合には以下までお問い合わせください。

ttps://www.rakuten-card.co.jp/e-navi/members/information/customer/index84917

※このメールはお客様の会員登録の情報が変更されたことをお知らせする重要なご連絡です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

<お問い合わせ先>

楽天カード株式会社 カスタマセンター

電話番号:0570-051-078

(一部ご利用いただけない場合は092-301-5731をご利用ください。)

営業時間:8:15-20:40

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

※このメールの送信アドレスは送信専用となっておりますので、

本メールへのご返信はご遠慮いただきますようお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

発行元  楽天カード株式会社

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 添付ファイル:(なし)

12/13の日記に書いたテキスト風HTMLの楽天カードを騙るメールと類似。

 

そしてURLに貼られたリンクは、

https://www.virustotal.com/#/url/144090151469ea924b6b1ab271e115d5cff7c207cb269af815c43dc0e4e2bd2a/details

となり、DetailsでわかるIPは、

12/14のしっかりHTML版と同じです。

 

つまり、

(1) あるIPのマルウェアサイト

(2) (1)を指す多数のドメイン名+サーバ名

(3) (2)を埋め込んだしっかりHTMLメールやテキスト風HTMLメール

 (日付や電話番号の下の桁をランダムにするなど少しだけ可変)

というセットで、(2)をせっせと不正サイトとして登録しても追いつきません。

(1)からダウンロードされるものをウイルスベンダーに提供して緊急パターンで

防御したとしても、ダウンロードされる中身が一定とも限りませんし、

 

(1)自体がすぐに違うIPでの別内容で攻撃が来るかもわかりません。

そのため12/13の(3)のメールは緊急パターンで対策済みとなっても、

12/14に別物が届いて12/13の緊急パターンが無効なのはありがちです。

これはシステムに頼るよりも、(3)に類似したものは警戒するということを

組織(会社・自治体・学校・家族)の構成員に広報すべきでしょう。

広告を非表示にする

◎12/14

件名:カード利用のお知らせ

From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)

本文は、

12/13の日記に書いた内容と類似で、

表中の利用日が12/14になっているのと、リンク先のIPアドレスが違うのみ。

 

 

https://www.virustotal.com/#/url/25d7a9451489e2e27c9b1001a3332885fb95c26ae626aa901129eee7c104e41f/detection

 

https://www.virustotal.com/#/url/f36e0dd20598a32e65d5d47ea680a89f312b5bd4634b30761b7b36b2a63fd338/detection

 

DetailsのIPアドレスで調べると、やはり多数のドメイン

https://www.virustotal.com/#/ip-address/104.128.73.28

 

広告を非表示にする

◎12/14

件名:Message from KM_C数字3桁e

From:copier@Toドメイン

X-Mailer: KONICA MINOLTA bizhub C数字3桁e

本文:(なし)

添付ファイル:C数字3桁e数字11桁.doc

 

https://www.virustotal.com/#/file/d4a8da30821df543407bcbbc25bf2a89db3d3f5c8d49fddeddaecd3b47c111ef/detection

 

https://www.virustotal.com/#/file/9b48b6bc6ee491a2b180d6b353ae8f8da230f27a0cdfc1757c58a4819664b790/detection

 

 

 

広告を非表示にする

◎12/13

件名:Status of invoice A217数字4桁-数字2桁

From:NAME <invoicing@Toドメイン> (を偽装)

本文:


Hello,

 

Could you please let me know the status of the attached invoice? I appreciate your help!

 

Best regards,

 

Charlie Baird Nee

Tel: 206-575-8068 x 100

Fax: 206-575-8094

*NEW* invoicing@Toドメイン

 

* Kindly note we will be closed Monday in observance of Labor Day *

 

 添付ファイル:A217数字4桁-数字2桁.doc

 

https://www.virustotal.com/#/file/fef88d6d31f7b6e3eafe9c4a12c7c65d24f63cad14c50a94c612a7354d361d1b/detection

 

https://www.virustotal.com/#/file/8f36a3ebcb2714d7f6d99d8d0672bcdf16980da788331953cba52c21fde64efb/detection

広告を非表示にする

◎12/13

件名:カード利用のお知らせ

From:楽天カード株式会社 <support@mail.rakuten-card.co.jp> (を偽装)

本文:

 

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【重要】カスタマセンターからのご案内

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

平素は、楽天カードをご愛顧賜り誠にありがとうございます。

当社からの重要なご案内をお送りいたしますので、

下記内容をご確認いただきますよう、何卒お願い申し上げます。

ただいま、お客様からの変更処理に基づいて会員登録情報が変更されました。

万が一、本メールの内容に覚えがない場合には以下までお問い合わせください。

ttps://www.rakuten-cardco.jp/e-navi/members/information/customer/index31621<URLリンク>

※このメールはお客様の会員登録の情報が変更されたことをお知らせする重要なご連絡です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

<お問い合わせ先>

楽天カード株式会社 カスタマセンター

電話番号:0570-076-544

(一部ご利用いただけない場合は092-302-5895をご利用ください。)

営業時間:8:15-20:40

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

※このメールの送信アドレスは送信専用となっておりますので、

本メールへのご返信はご遠慮いただきますようお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

発行元  楽天カード株式会社

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 添付ファイル:(なし)

 

従来からのテキスト風HTMLメールで、URLに別のサイトのリンクが張られています。

https://www.virustotal.com/#/url/2f00ac080ce19edf00ccd0fcc5447b8ed1641bbb850522e553a9db8415743e48/detection

広告を非表示にする

◎12/13

件名:あなたのApple IDのセキュリティ質問を再設定してください。

From:Apple <noreply@email.apple.com> (を偽装)

本文:

 

 

安全のため、このApple IDはすでにロックされました。あなたのApple IDはwindows PCのiCloudにログインしたりダウンロードしたりする操作があったとAppleゲームのセキュリティチームは発見しました。

日付と時間:2017/12/11

iCloudバージョン:6.2.2.35

IP:220.31.242.194(岐阜)

あなたのアカウントの安全性を守るために、セキュリティ質問を再設定して頂くことが必要です。再設定された後、たとえあなたのApple IDとパスワード及び元のセキュリティ情報を知っているとしても、それを使用することができません。

この問題を解決するにはこちら<URLリンク>

このリンクとあなたのApple IDのセキュリティ質問とは、2017年12月26日から失効になります。詳細情報について、「よくある質問」をご利用いただけます。

以上

Apple IDサポートセンター

 

 添付ファイル:(なし)

 

https://www.virustotal.com/#/url/09e0ead62d9539d888d47b31b59b2df466de3c6c2224e0ee41a53290dee521eb/detection

 

アカウントを盗むフィッシングのようですが、リンク先はうまく動いていないかもしれません。

 

 

広告を非表示にする