malware_mailの日記

個人メールアドレスに届いたマルウェアメールを記録

◎1/23

件名:カード利用のお知らせ

From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)

本文:

楽天カード
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。

で始まるHTMLメール

2018/1/16のものと似ています。

表の中の利用日が異なる程度。

画像で貼ると、

f:id:malware_mail:20180123202708p:plain

各所にあるリンクは、

https://www.virustotal.com/#/url/54d42f2892e32a15678397e1eddfcd66ad1e9d517abbe9bfe3ef13d76a31c9c4/detection

 

https://www.virustotal.com/#/url/a726b8fa2ea1409e50f96e8f75a8cc483169ff4b5765797b2d72c4a157cf6006/detection

 

https://www.virustotal.com/#/url/924047bd89888daf472befe4352fe981b869764d2eb6891db96f5616d8a5d5fc/detection

 

IPは同じで、

https://www.virustotal.com/#/ip-address/104.243.33.119

 

これらのURLにアクセスすると、
楽天銀行の重要な情報.zip
がダウンロードされます。
zipの中身は、楽天銀行の重要な情報.PDF.js

でも1/16のものとは違う内容です。

https://www.virustotal.com/#/file/10e4abc1945d2138a3200a8090c6d4231fd932298b92e16e2bc9b49404892d48/detection

 

7431桁の一行テキストです。