malware_mailの日記

個人メールアドレスに届いたマルウェアメールを記録

◎7/27

件名:【MyEtherWallet】<<重要なお知らせ>>

From:MyEtherWallet <support_jp@myetherwallet.com> (を偽装)

本文:

 

MyEtherWalletをご利用いた だきありがとうございますが 、アカウント管理チームは 最近MyEtherWalletアカウ ントの異常な操作を 検出しました。アカウ ントを安全に保ち、盗難な どのリスクを防ぐため、ア カウント管理チームによっ てアカウントが停止され ています。次の アドレスで アカウントのブロックを 解除することができます。

秘密鍵の認証: ttps://www.myetherwallet.com/ <URLリンク>

今後ともよろしくお願い致します。
MyEtherWallet サポートセンター

HTML表示だとサイズ0の文字列が表示されないので上のように読めるメール。

7/6のメール同様なのですが、挟まれている文字列はBASE64エンコードを小文字変換したような文字列になりました。テキスト表示で文字化けのように見せたいのでしょうか。

メールソース自体はBASE64エンコード

Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0aW9uYWwv
L0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgY29udGVudD0idGV4dC9odG1sOyBjaGFyc2V0PXV0

なので、デコードして<BODY>以降を見ると、以下のような感じです。

<BODY><SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">fr8lz0snfkmj7yvv0kdfwohu7kcdptxtysijjkgudciicgjziukd0hk15h0s</SPAN>

<P>MyEtherWalletをご利用いた<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">ntljndvmgchgeny7klc97w9bjniwdiss2qoqw94t755r5vgflirwfqhow0kid82t20m3dgcnc6sein8f</SPAN>
だきありがとうございますが<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">lzjqnr9c9tlomxsgw23ynmakxnxytyitmbahorikhlrx3fl9q8mzmnrs0ye8bmhfm0ly7akulj8wemyf</SPAN>
、アカウント管理チームは<SPAN

 

 URLに張られているリンクは、myetherwalletの末尾にアルファベット一文字追加し、comではなくorgドメインまでは7/6と同じです。

https://www.virustotal.com/#/url/e9088fada4afff83efe1509ff3963b094c5f249976fe883028d6244383c532fc/detection

 

しかしhttpからhttpsに変わったのが注目点。

Chrome 68(米時間7/24)から全HTTPページが警告されるようになった対策なのか、フィッシングサイトにしろマルウェアサイトにしろ、HTTPS対応したのでしょうか。