◎6/12
楽天市場を騙るマルウェアメールと楽天カードを騙るマルウェアメールがセットで
同じIPへのURLリンクを含んで届きます。
件名:【楽天市場】注文内容ご確認(自動配信メール)
From:楽天市場 <order@rakuten.co.jp> (を偽装)
本文:
この度は楽天市場内のショップ「ウルトラぎおん楽天市場店」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。(in English)
で始まるHTMLメール
画像で貼ると
各所のリンクは、
「.」が抜けて名前解決できないリンクもありました。
IPは、
https://www.virustotal.com/#/ip-address/198.98.48.158
ダウンロードされるのは、「もっと詳しくの情報はこちら.zip」
zipの中身は、「もっと詳しくの情報はこちら.PDF.js」
例によって、中身のjsの方がzipよりも検出製品が少ない状況です。