◎7/4
件名:【速報版】カード利用のお知らせ(本人ご利用分)
From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)
本文:
楽天銀行カード(JCB)を
ご利用いただき、誠にありがとうございます
お客様のご利用情報が到着いたしましたので、速報としてご案内させていただきます。
で始まるHTMLメール
6/29のメールと同様で、ご利用日が2018/07/04になっている程度
各所のリンクは、
IPは同じで、
https://www.virustotal.com/#/ip-address/195.123.238.14
ダウンロードされるのは、
もっと詳しくの情報はこちら.zip
zipの中身は、
もっと詳しくの情報はこちら.PDF.js
◎7/2
件名:注文書をお送りいたします
本文:
お世話になっております。
7月度の発注書を添付資料にてお送りさせていただきます。是非ともよろしくお願いします。
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
工業株式会社*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
別のメールでの本文:
お世話になっております。
昨日、お見積もりいただきましたプリンタとスキャナの注文書をお送りします。是非ともよろしくお願いします。
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
工業株式会社*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
添付ファイル:注文書_数字4桁.xls
◎6/29
件名:【速報版】カード利用のお知らせ(本人ご利用分)
From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)
本文:
楽天銀行カード(JCB)を
ご利用いただき、誠にありがとうございます
お客様のご利用情報が到着いたしましたので、速報としてご案内させていただきます。
で始まるHTMLメール
6/6のメールと同様です。
画像で貼ると
4通届きました。各所のリンクは、
IPは同じで、
https://www.virustotal.com/#/ip-address/45.125.65.69
ダウンロードされるのは、
もっと詳しくの情報はこちら.zip
zipの中身は、もっと詳しくの情報はこちら.PDF.js
◎6/28
件名:写真
本文:
いつもお世話になります。
写真二枚お送りします。MS OFFICE版にて送付致します。>
PDF版が必要な方はご一報下さい。添付ファイルのご確認、宜しくお願いいたします。
宜しくお願いします。
添付ファイル:数字4桁_写真.zip
zipの中身は2.xls
2/29の未明には同じ2.xlsを含むzipファイルが添付された類似メールが2通届きました。
件名:添付写真あり
本文:
いつもお世話になります。
(2枚)XLS版にて送付致します。
PDF版が必要な方はご一報下さい。添付ファイルのご確認、宜しくお願いいたします。
宜しくお願いします。
添付ファイル:数字4桁_写真.zip
もう一通は、
件名:添付写真あり
本文:
いつもお世話になります。
(2枚)MS OFFICE版にて送付致します。
PDF版が必要な方はご一報下さい。添付ファイルのご確認、宜しくお願いいたします。
宜しくお願いします。
添付ファイル:数字4桁_写真.zip
◎6/28
件名:添付写真あり
本文:
添付ファイル:6_28_写真①.xls
日付かと思いきや、数字1桁_数字2桁_写真①.xlsのパターン
携帯電話アドレスに届いた別のメールでは、
件名:スナップ写真
本文:
いつもお世話になります。
添付写真ありXLS版にて送付致します。>
PDF版が必要な方はご一報下さい。添付ファイルのご確認、宜しくお願いいたします。
宜しくお願いします。
添付ファイル:0_96_写真①.xls
で、xlsファイル自体は、一通目と同一内容
◎6/28
件名:アラート:あなたのアカウントは閉鎖されます。
From:Amazon <noreply@email.amazon.com> (を偽装)
本文:
ご注意ください!
大変申し訳ございません、あなたのアカウントは閉鎖されます。あなたのアカウントAmazonを更新できませんでした、これは、力ードが期限切れになったか、請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
Amazonをご利用いただきありがとうございますが、アカウント管理チームは最近Amazonアカウントの異常な操作を検出しました。アカウントを安全に保 ち、盗難などのリスクを防ぐため、アカウント管理チームによってアカウントが停止されています。
24時間以内にあなたの情報を更新しない場合、アマゾンアカウントで何ができるか的を絞ってください。アカウント検証 <URLリンク>
なぜこのメールを受け取ったのだろうか?
この電子メールは、定期的なセキュリティチェック中に自動的に送信されました。当社はお客様のアカウント情報に完全に満足しておらず、引き続きサ ービスを継続的にこ利用いただくためにアカウントを更新する必要があります。
Amazonカスタマーサービスまたのご利用をお待ちしております。
Amazon.co.jp
といった内容のHTMLメール
アカウント検証のリンク先が、フィッシングサイト
ところが、virustotalのDetailsタブのFinalURLは一般企業サイト
しかしServing IP addressは、フィッシングサイト
https://www.virustotal.com/#/ip-address/5.23.55.40
IPアドレスアクセスでAmazonアカウント入力になります。
ところがurlqueryで見ると
http://urlquery.net/report/6ae72d2a-61ac-4366-bd90-b4cb0c916a4d
では、yahooに行く模様。
◎6/26
件名:注文書よろしくお願いします。
From:姓.名@実在ドメイン名.co.jp (を偽装)
本文:
お世話になっております。
注文書を送付させていただきます。
日報とスケジュールを間違えました。
■■■■■■■■■■■■■■■■■■■■■■
株式会社サービス
■■■■■■■■■■■■■■■■■■■■■■
添付ファイル:数字4桁.注文書(2018.06.26).xls
また、類似メールがFortiGateで駆除されたものも受信しています。
件名:[FG_Spam] 注文書の送付(2018.06.26)
From:miwa427@実在ドメイン名.co.jp
本文:
お世話になっております。
注文書を添付します。
日報とスケジュールを間違えました。
■■■■■■■■■■■■■■■■■■■■■■
株式会社サービス
■■■■■■■■■■■■■■■■■■■■■■
Dangerous Attachment has been Removed. The file "7215.注文書(2018.06.26).xls" has been removed because of a virus. It was infected with the "VBA/Agent.DEM!tr.dldr" virus. File quarantined as: ""."http://www.fortinet.com/ve?vid=7381964"