malware_mailの日記

個人メールアドレスに届いたマルウェアメールを記録

◎10/11

件名:Invoice INV0000数字3桁

本文:

Sent from my iPhone

添付ファイル:Invoice INV0000数字3桁.7z

 7zファイルの中身は、Invoice INV000別の数字3桁.vbs

ここまでは、10/6のものとそっくり。

ただ、vbsのコードは全く別物です。

 

https://www.virustotal.com/#/file/289ce29d95f5e25b449df6b9acb949ff0db90dd9e443af41d31d0334a564a22f/detection

 

https://www.virustotal.com/#/file/1689501cf12d426d74cdd7bcd80e3fdd4bd6e34c4b9b3a0755a931eae5d34b5e/detection

 

https://www.virustotal.com/#/file/01d06559249d12ae3f42b8665d4406b6608ce0353a3662e98e07b8095c38f920/detection

 

◎10/11

件名:あなたのApple IDのセキュリティ質問を再設定してください。

From:noreply@email.apple.com <noreply@email.apple.com> (を偽装)

To:同一ドメインの多数に送付

本文:

 


安全のため、このApple IDはすでにロックされました。

あなたのApple IDはwindows PCのiCloudにログインしたりダウンロードしたりする操作があったとAppleゲームのセキュリティチームは発見しました。

日付と時間:2017/10/10

iCloudバージョン:6.2.2.35

IP:220.31.254.151(岐阜)

あなたのアカウントの安全性を守るために、セキュリティ質問を再設定して頂くことが必要です。再設定された後、たとえあなたのApple IDとパスワード及び元のセキュリティ情報を知っているとしても、それを使用することができません。

この問題を解決するにはこちら<URLリンク>


このリンクとあなたのApple IDのセキュリティ質問とは、2017年10月13日から失効になります。詳細情報について、「よくある質問」をご利用いただけます。

以上


Apple IDサポートセンター
qi�g? �= 8�3�= 4(= 6�= 8

 

 

 URLリンクは、リダイレクトされる模様

https://www.virustotal.com/#/url/7f0000ebc3a322842bd36a62d2d572a313ec3a913cef2d3d131f3a60cd2a0a61/detection

 

アカウントを盗むフィッシングか、マルウェアダウンロードかは未調査。

 

◎10/11

件名:Voicemail From 845-551-数字4桁

From:Microsoft Voice <MSVoice@Toドメイン> (を偽装)

本文:

Voice Message received at Tue, 10 Oct 2017 08:44:53 -0700
Voicemail Length 10 sec

日時と秒数はランダム

添付ファイル:VMSG数字7~8桁_20171010.7z

7zファイルの中身は、VMSG数字9~10桁_20171010.vbs

 

 

https://www.virustotal.com/#/file/d5cf19c331b43d4f84d77c988f0d1816f3b0776c043cb054541b6e22773efe37/detection

 

https://www.virustotal.com/#/file/88295afba1fbcc939fea1965ed2d1cc3410217565f5a50a373f5353dcfce52f8/detection

 

https://www.virustotal.com/#/file/01bf1f458f90afa49f8f886885a068c5508c223e515a3603c3aa630ebb98822f/detection

◎10/10

件名:Status of invoice A217数字4桁-数字2桁

From:FIRSTNAME LASTNAME <invoicing@Toドメイン> (を偽装)

本文:

Hello,

 

Could you please let me know the status of the attached invoice? I appreciate your help!

 

Best regards,

 

FIRSTNAME LASTNAME

Tel: 206-575-8068 x 100

Fax: 206-575-8094

*NEW* invoicing@Toドメイン

 

* Kindly note we will be closed Monday in observance of Labor Day *

 

 

 

 添付ファイル:A217数字4桁-数字2桁.html

htmlをBASE64エンコードして添付するパターン

html内にiframeで別のURLにアクセス

https://www.virustotal.com/#/file/b4b6674d2bbaa3dd4a5e5fb5abc1fa4ef1fa9774f8702ab1915596a16b982415/detection

 

https://www.virustotal.com/#/file/f2249daac1d424b64acaf07743f0284e32e30a34c3e45cacd55b887255a474f6/detection

 

https://www.virustotal.com/#/file/4994fc10933371d51a2c310ff60239d4103a2599bcc6cbe49c181e49ba7be8e0/detection

 

iframeでのリンク先

https://www.virustotal.com/#/url/1523a6c0feac11fc373543fbccd718b6e94d3f4a12c986788a48f9b3efb4257a/detection

◎10/10

 件名:(なし)

From:適当なアドレス@qa2.so-net.ne.jp (を偽装)

本文:(なし)

添付ファイル:数字15桁.zip

zipの中身は、数字5桁.zip。その中身は数字4桁.js

 

10/9の件名なしと類似

 

https://www.virustotal.com/#/file/19bbc563681c706a63232673f967c171b6978e0813ddccab960ea0fa422a1b7e/detection

 

◎10/10

件名:Document invoice_数字4~5桁_sign_and_return.pdf is complete

From:RightSignature.com <documents@rightsignature.com> (を偽装)

MIMEバウンダリ文字列誤りで本文も添付ファイルも見えませんが、

メールソースから本来の内容を抜き出すと

本文:

Hello,

This document has been signed and is now complete.

Filename: invoice_数字4~5桁_sign_and_return.pdf
Reference #: 0FB40360DA0B5FA1364D91
Subject: Please sign
Message: Please sign this document.

For your convenience, a pdf of the completed document is attached to this email.


Thank you for using RightSignature!


--

RightSignature is the easiest, fastest way to get documents signed.
RightSignature LLC, 8 E Figueroa St., Santa Barbara, CA 93101
ttps://RightSignature.com/ | support@rightsignature.com

 

 添付ファイル:invoice_数字4~5桁_sign_and_return.7z

 7zファイルの中身は、invoice_別の数字5桁_sign_and_return.vbs

https://www.virustotal.com/#/file/1bc29aed4bafe13a30f92c90c2f94743baa20c8d7032fe81c425ad1375ec21f1/detection

 

https://www.virustotal.com/#/file/544054a4d329103ac3deb0a363012fa1172312d4dff5579cb99d3a0c7dff7655/detection

 

https://www.virustotal.com/#/file/f9aa7f7038e2a9c1a761fa26e18a3cf92863393e4052361e4a4ba1aa92eca7e9/detection

 

https://www.virustotal.com/#/file/6efc84b593711f4c6c641985a53a74e533d6b086e9b2c18b3deae7c812b8d3b5/detection

 

https://www.virustotal.com/#/file/5da166f4676bd973cea79fa2fba4588b55d8b3772efffec147747606502508c4/detection

 

◎10/10

件名:New voice message 数字11桁 in mailbox 数字11桁1 from "数字11桁" <数字10桁>

From:Voicemail Service <vmservice@Toドメイン> (を偽装)

本文:

Dear user:

just wanted to let you know you were just left a 0:11 long message (number 数字11桁)
in mailbox 数字11桁1 from "数字11桁" <数字10桁>, on Mon, 09 Oct 2017 22:44:14 +0700
so you might want to <a href="ttp://適当なドメイン/voicemsg.html>check</a> it when you get a chance. Thanks!

--Voicemail Service

と、HTMLメールではないのにタグを使用

本文中の日時は、メールヘッダのDate:と対応していますが、

時差が+0530や+0545といったものも。

 

 

添付ファイル:msg0数字4~7桁.7z

7zファイルの中身は、msg0数字8桁.vbs

https://www.virustotal.com/#/file/7a5a519c6f9679635cf96cec24a0acb43a4de90c02067ff47a11ba81addf88a0/detection

 

https://www.virustotal.com/#/file/2818449c44ce77428952d8ed19ad05161f91838b1e54559b31387f8be4441175/detection

 

https://www.virustotal.com/#/file/4782960416238b30ba3ceaf1c21d76406de7f4c75f461fc2e5261cbd3ea8b3ff/detection

 

https://www.virustotal.com/#/file/64fe4e6776b975c8b86713bd4a96262d4d7dcd06dd5bf422e6eef6484c6a79d3/detection

 

https://www.virustotal.com/#/file/bc124964ccbae577d7fe1407038e92bcc5809c380abf1b55b64428ebffbac6a1/detection

 

https://www.virustotal.com/#/file/cf5d2a7a68b5d25d1c15c49f1316928efd52785a70c8347361f61f3a22386ce8/detection