malware_mailの日記

個人メールアドレスに届いたマルウェアメールを記録

◎7/6

件名:重要な変更の際には本人確認

From:MyEtherWallet <support_jp@myetherwallet.com> (を偽装)

本文:

 

MyEtherWalletをご利用いた だきありがとうございますが、 アカウント管理チームは 最近MyEtherWalletアカウ ントの異常な操作を 検出しました。アカウ ントを安全に保ち、盗難な どのリスクを防ぐため、ア カウント管理チームによっ てアカウントが停止され ています。次の アドレスで アカウントのブロックを 解除することができます。

秘密鍵の認証: ttps://www.myetherwallet.com/ <URLリンク>


今後ともよろしくお願い致します。
MyEtherWallet サポートセンター

 HTML表示だとサイズ0のダミー文章が表示されないので上のように読めるメール。

URLに張られているリンクは、myetherwalletの末尾にアルファベット一文字追加し、comではなくorgドメイン

https://www.virustotal.com/#/url/3d5bf99b52b9690b2c0c3bcfb6af6c5196b6f6b807c42ac39e21d8b9c673ff38/detection

 

ダミー文章でテキスト表示だと読みづらく、HTML表示をコピーペーストして注意喚起するにも手間がかかります。

メールソースは、

 

Content-Type: text/html;
	charset="utf-8"
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0aW9uYWwv
L0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgY29udGVudD0idGV4dC9odG1sOyBjaGFyc2V0PXV0
Zi04IiBodHRwLWVxdWl2PUNvbnRlbnQtVHlwZT4NCjxNRVRBIG5hbWU9R0VORVJBVE9SIGNvbnRl
(以下、延々続く)

デコードしてみたものを画像で貼ると

f:id:malware_mail:20180707015232p:plain