malware_mailの日記

個人メールアドレスに届いたマルウェアメールを記録

◎11/29

件名:【重要】カスタマセンターからのご案内【楽天カード株式会社】

From:楽天カード株式会社 <support@mail.rakuten-card.co.jp> (を偽装)

本文:

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【重要】カスタマセンターからのご案内

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

(ご注意:本メールにご返信頂くことはできません。)

平素は、楽天カードをご愛顧賜り誠にありがとうございます。

当社からの重要なご案内をお送りいたしますので、

下記内容をご確認いただきますよう、何卒お願い申し上げます。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

  お客様への重要なお知らせ

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ttp://rakuten-card.co.jp/importantnotice/05667805


なお、携帯電話からは本サイトをご覧いただけませんので、パソコン又はスマートフォンからお手続き願います。(※スマートフォンの一部ではご利用いただけません。)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

<お問い合わせ先>

楽天カード株式会社 カスタマセンター

電話番号:0570-038-254

(一部ご利用いただけない場合は092-304-0663をご利用ください。)

営業時間:8:15-20:40

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

※このメールの送信アドレスは送信専用となっておりますので、

本メールへのご返信はご遠慮いただきますようお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

発行元  楽天カード株式会社

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

添付ファイル:(なし)

テキスト風HTMLメールでURL文字列に、全然別のドメインハイパーリンクが張られています。

 

https://www.virustotal.com/#/url/e56a7883d246af106a373c8eb848c4e71bcb1908b7edc548f26bc2de0f2cf036/detection

 

https://www.virustotal.com/#/url/a845a9f5a3770ae3f0dbd6a9dad0c4548a49404f9f357d156b821b5fb3166d10/detection

 

Detailsタブを見ると、IPアドレスは同じなので、IPアドレスで調べると、種々のドメイン名が使われています。(Moreボタンでどんどん展開されます。)

https://www.virustotal.com/#/ip-address/172.96.140.254

 

 

アクセスすると、http://ドメイン名/詳細情報楽天銀行.zipがダウンロードされますが、

画面は403 Forbiddenの表示。

 

詳細情報楽天銀行.zip

https://www.virustotal.com/#/file/cc979e6bef03826cfd803aedb50fd5cfe226831c2375013abc5139a8e328e1fa/detection

 

zipの中身は詳細情報楽天銀行.PDF.js

https://www.virustotal.com/#/file/043f1b1bbc7b59bd416d4b9eb9c32f154f6f9577688b1dce722b3fb9aea8897b/detection

 

広告を非表示にする