malware_mailの日記

個人メールアドレスに届いたマルウェアメールを記録

◎7/13

件名:アラート:あなたのアカウントは閉鎖されます。

From:Apple <noreply@email.apple.com> (を偽装)

本文:

Appleをご利用いただきありがとうございますが、アカウント管理チームは最近Appleアカウントの異常な操作を検出しました。アカウントを安全に保ち、盗難などのリスクを防ぐため、アカウント管理チームによってアカウントが停止されています。
注:24時間以内にあなたの情報を更新しない場合、アマゾンアカウントで何ができるか的を絞ってください。
リカバリアカウント <URLリンク>

で始まるテキスト風HTMLメール

7/6のメールに類似していてリンク先だけ違います。

リンクは、

https://www.virustotal.com/#/url/1f22116f6b6557b0489dd38f22fdf024f63c9e08504aae4bf2c3598ff0acc25e/detection

 

◎7/10

件名:写真

本文:


お世話になっております。

写真です。

よろしくお願いします。

添付ファイル:IMG_メールアドレスローカル部.zip

https://www.virustotal.com/#/file/7d535ebde655c5ca937d1e41e70d47f829c4e320e709e255e00d11395f90a30a/detection

zipの中身は、

IMG_数字4桁_1.jpg

https://www.virustotal.com/#/file/8373fc25c5ce566f0452dc48d7a98cabe0a528143abe9444de80eb2c729c72b9/detection

 

IMG_数字4桁_2.jpg.vbs

https://www.virustotal.com/#/file/4165270459a38ca8da6ab6ff7c7b1ecf29c13f6b602788738b8da2f0119ae56d/detection

 

 

 

◎7/6

件名:重要な変更の際には本人確認

From:MyEtherWallet <support_jp@myetherwallet.com> (を偽装)

本文:

 

MyEtherWalletをご利用いた だきありがとうございますが、 アカウント管理チームは 最近MyEtherWalletアカウ ントの異常な操作を 検出しました。アカウ ントを安全に保ち、盗難な どのリスクを防ぐため、ア カウント管理チームによっ てアカウントが停止され ています。次の アドレスで アカウントのブロックを 解除することができます。

秘密鍵の認証: ttps://www.myetherwallet.com/ <URLリンク>


今後ともよろしくお願い致します。
MyEtherWallet サポートセンター

 HTML表示だとサイズ0のダミー文章が表示されないので上のように読めるメール。

URLに張られているリンクは、myetherwalletの末尾にアルファベット一文字追加し、comではなくorgドメイン

https://www.virustotal.com/#/url/3d5bf99b52b9690b2c0c3bcfb6af6c5196b6f6b807c42ac39e21d8b9c673ff38/detection

 

ダミー文章でテキスト表示だと読みづらく、HTML表示をコピーペーストして注意喚起するにも手間がかかります。

メールソースは、

 

Content-Type: text/html;
	charset="utf-8"
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0aW9uYWwv
L0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgY29udGVudD0idGV4dC9odG1sOyBjaGFyc2V0PXV0
Zi04IiBodHRwLWVxdWl2PUNvbnRlbnQtVHlwZT4NCjxNRVRBIG5hbWU9R0VORVJBVE9SIGNvbnRl
(以下、延々続く)

デコードしてみたものを画像で貼ると

f:id:malware_mail:20180707015232p:plain

広告を非表示にする

◎7/6

件名:アラート:あなたのアカウントは閉鎖されます。

From:Apple <noreply@email.apple.com> (を偽装)

本文:

Appleをご利用いただきありがとうございますが、アカウント管理チームは最近Appleアカウントの異常な操作を検出しました。アカウントを安全に保ち、盗難などのリスクを防ぐため、アカウント管理チームによってアカウントが停止されています。
注:24時間以内にあなたの情報を更新しない場合、アマゾンアカウントで何ができるか的を絞ってください。
リカバリアカウント <URLリンク>

で始まるテキスト風HTMLメール

リンクは、

https://www.virustotal.com/#/url/a66c1522801c3d6823cf09a39e0eb1351b8a70d2aa07e0b18c47b80d6e875a83/detection

アカウントを盗むフィッシングサイトでしょう。

 

広告を非表示にする

◎7/5

件名:【楽天市場】注文内容ご確認(自動配信メール)

From:楽天市場 <order@rakuten.co.jp> (を偽装)

本文:

この度は楽天市場内のショップ「TRYX3(トライスリー)楽天市場店」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。(in English)
 

で始まるHTMLメール。

ショップ名は他に

・株式会社MOA
・Ease Space-イーズスペース-
・マサニ電気株式会社 楽天市場

を騙ったものが届きました。

 6/12のメールと同様で、テレビの注文を騙ります。

各所のリンクは、

https://www.virustotal.com/#/url/85db2ac77eb599c8eb81d83a5001bd5c268d2055c6c26ee2795803e2d1f4bf02/detection

 

https://www.virustotal.com/#/url/cf93f96b81c7f20ec8ae52652f973c515de9209d4d5852cbcae8856baf104c9d/detection

 

https://www.virustotal.com/#/url/eaf12508ecfe09bf6c7168492015cdb0b4892a5bb1384e2bd5976c03cb736bc2/detection

 

https://www.virustotal.com/#/url/5ac60a1eb16aa6b6ab3f3fdf85270944ea4ef172e763dbbb4285c4135795c92d/detection

 

IPは、

https://www.virustotal.com/#/ip-address/195.123.238.14

で、7/4の楽天カードを騙るメールもうひとつ と同じです。

 

 7/6の朝では、1~3番目のURLは、Firefoxの場合、

http://ドメイン/もっと詳しくの情報はこちら.zip

にリダイレクトされて404表示。

4つ目は有害とブロックされました。(勧告の提供者: Google Safe Browsing。)

 

4つ目をEdgeで試すと、

http://ドメイン/もっと詳しくの情報はこちら.PDF.js

にリダイレクトされて404表示。

ブラウザの種類(に限らず、クライアントから送付する種々の情報によって)降ってくる内容も違うのでしょう。

このブログでは基本的にFirefoxを利用しています。

 

 

広告を非表示にする

◎7/4

件名:アラート:あなたのアカウントは閉鎖されます。

From:Amazon <noreply@email.amazon.com> (を偽装)

本文:

ご注意ください!

大変申し訳ございません、あなたのアカウントは閉鎖されます。あなたのアカウントAmazonを更新できませんでした、これは、力ードが期限切れになったか、請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
Amazonをご利用いただきありがとうございますが、アカウント管理チームは最近Amazonアカウントの異常な操作を検出しました。アカウントを安全に保 ち、盗難などのリスクを防ぐため、アカウント管理チームによってアカウントが停止されています。
24時間以内にあなたの情報を更新しない場合、アマゾンアカウントで何ができるか的を絞ってください。

アカウント検証<URLリンク>

なぜこのメールを受け取ったのだろうか?
この電子メールは、定期的なセキュリティチェック中に自動的に送信されました。当社はお客様のアカウント情報に完全に満足しておらず、引き続きサ ービスを継続的にこ利用いただくためにアカウントを更新する必要があります。
Amazonカスタマーサービス

またのご利用をお待ちしております。
Amazon.co.jp

 

 といった内容のHTMLメール

6/28のメールと類似していますが、リンク先URLは違います。

securtyなんたら-かんたら-amazn.comのパターン。

アカウント検証のリンク先が、フィッシングサイト

https://www.virustotal.com/#/url/33e82851705000ef56a5637d084ce70985706c3aeb707b59ccca9ba6f86dd436/detection

 

 

広告を非表示にする

◎7/4

件名:【楽天カード】カードご請求金額のご案内

From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)

本文:

【2018年7月度】 ご請求金額のご案内
いつも楽天銀行カード(JCB)をご利用いただきありがとうございます。
4月分のご請求金額が確定いたしましたのでご案内いたします。
 

 で始まるHTMLメール

6/26のメールと類似で、冒頭が7月度に変わっているだけです。

文章は4月分のままですし、赤枠の中は「6月度ご請求金額」のままという杜撰なもの。

 

各所のリンクは、

https://www.virustotal.com/#/url/1bfff57ee3b057bcc014f8de3a31067623005017ef2fde6d174a778dbacbb7f6/detection

IPは、

https://www.virustotal.com/#/ip-address/195.123.238.14

で、7/4の楽天を騙る別のメールと同じです。

 

ということで、

もっと詳しくの情報はこちら.zip

がダウンロードされるのも同じでしょう。

 

広告を非表示にする