malware_mailの日記

個人メールアドレスに届いたマルウェアメールを記録

◎3/22

件名:【楽天市場】注文内容ご確認(自動配信メール)

From:楽天市場 <order@rakuten.co.jp> (を偽装)

本文:

この度は楽天市場内のショップ「クレールオンラインショップ」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。(in English)
ご注文内容
注文番号 231963-20180106-00134809
注文日時 2018-01-06 16:22:30

 

 で始まるHTMLメール

画像で貼ると

f:id:malware_mail:20180322212149p:plain

 

各所のURLリンクは、

https://www.virustotal.com/#/url/2424077daf50fca92e4bd68fa578f296eba2a82fc644a03cb20f949c0dba82aa/detection

 

こちらのIPは、種々のドメイン名が同じものを指しています。

https://www.virustotal.com/#/ip-address/206.221.186.60

 

https://www.virustotal.com/#/url/eaec5960802cbf19001b61d6bfa40c03253c768619a1bfca5cdcc13a69fcc86f/detection

こちらは、名前解決できません。

 

リンク先は、楽天を装ったアカウント入力サイトになります。

アカウントとパスワードを盗む機能もあるかもしれませんが、

入力内容に関わらず、ttp://偽サイト/error.php に飛び、

あなたのアカウントに異常な動きが検知されました。

セキュリティのため、アカウントをロックしましたので、詳細情報をクリックしてアカウントを確認してください。

この詳細情報クリックで、

もっと詳しくの情報はこちら.zip

がダウンロードされます。

zipの中身は、もっと詳しくの情報はこちら.PDF.js

https://www.virustotal.com/#/file/0542e182667459b2cd637da6906f15d29751f28080d8556c31bc46a23c15ba1b/detection