malware_mailの日記

個人メールアドレスに届いたマルウェアメールを記録

◎1/16

件名:カード利用のお知らせ

From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)

本文:

  楽天カード
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。

 で始まるHTMLメール

2017/12/29のものと似ています。

 

画像で貼ると

f:id:malware_mail:20180116225640p:plain

各所にあるリンクは、入手できたものでは、

https://www.virustotal.com/#/url/e83d7a409d8005d11dbab87ae9a7fd1e660a562859b106be9143efad61113a97/detection

 

https://www.virustotal.com/#/url/830a3524566eaa6bd3baa1321284088c66cbdbc53d0e761011dffbe046e55ec1/detection

 

https://www.virustotal.com/#/url/3bd91a0a65376b0b84a40e7376acfd2313b8014fae422f56f3840f4da2d21d55/detection

 

https://www.virustotal.com/#/url/1ee4a2957fa8ba64ef2df731734bea8cd5589f2c8a5545b43c43f85e450944be/detection

 

https://www.virustotal.com/#/url/17b7d17f3459aa7edc62769d508ad48b2ffc1792533b80dbc7e70aea4df6fd21/detection

 

https://www.virustotal.com/#/url/3ab4aef6d6b6f28cef90854a4cdeddc2632f26c96fcd41acf589ff45c9457619/detection

 

これらのIPは同一で、

https://www.virustotal.com/#/ip-address/104.128.73.92

 

これらのURLにアクセスすると、

楽天銀行の重要な情報.zip

がダウンロードされます。

zipの中身は、楽天銀行の重要な情報.PDF.js

https://www.virustotal.com/#/file/bde053001dd4c78bb122dc1cd8669a7fd36e9c74fd1229660f80f47c82496ce1/community

 

50256桁の一行テキストです。