◎2/6
件名:カード利用のお知らせ
From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)
本文:
楽天カードを
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。
で始まるHTMLメール
2018/1/30のものと同様で表中の日付とダウンロードされるjsファイルの中身だけ違います。
画像で貼ると
各所にあるリンクは、入手できたものでは、
いつものように様々なドメインが同じIPアドレスを指しているのでしょう。
IPは、
https://www.virustotal.com/#/ip-address/206.221.187.175
これらのURLにアクセスすると、
楽天銀行の重要な情報.zip
がダウンロードされます。
zipの中身は、楽天銀行の重要な情報.PDF.js
このパターンもしばらく変わっていません。
中身のスクリプトの体裁は毎週変わり、
今回は1行9056桁のスクリプトです。
昼間は検出する対策ソフトなし。
夜でもまだわずかといった状況です。
ダウンロードされたZIPを、ウイルス検査しても大丈夫だったからと過信して、うっかり中の楽天銀行の重要な情報.PDF.jsを開かないようにしてください。
◎1/30
件名:カード利用のお知らせ
From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)
本文:
楽天カードを
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。で始まるHTMLメール
2018/1/23のものと同様で表中の日付とダウンロードされるjsファイルの中身だけ違います。(金額が1,000円から10,276円に変わってもポイントは5ポイントのまま)
毎週火曜日配布のマルウェアといった感じになってきました。
画像で貼ると、
各所にあるリンクは、
IPは同じで、
https://www.virustotal.com/#/ip-address/94.46.186.230
これらのURLにアクセスすると、
楽天銀行の重要な情報.zip
がダウンロードされます。
zipの中身は、楽天銀行の重要な情報.PDF.js
今回は複数行のスクリプトで、一見12月中旬のものに似ていますが、
まだ検出するウイルス対策ソフトがない状況です。
もちろんバグっている可能性もありますが。
◎1/30
件名:Saison Net Answer - Saison Card
From:Saison Net Answer <Nasp35584◯◯◯@omp.easy.staples.com> (◯◯◯はToアドレス)
本文:
親愛なるSaison Net Answerのお客様
賞: あなたは1500ポイントを受け取った (7500円)
ttps://netanswerplus.saisoncard.co.jp<URLリンク>私たちのウェブサイトに行き、あなたの報酬を得る
URLリンクの先は、カード番号を入力させるセゾンカードを模したフィッシングサイト
がリダイレクトされるのは、
◎1/27
件名:あなたのApple IDのセキュリティ質問を再設定してください。
From:Apple <noreply@email.apple.com> (を偽装)
本文:
お客様のApple ID が、ウェブブラウザからiCloudへのサインインに使用されました。
日付と時間:2018年1月26日 22:08 JST
のブラウザ: Chrome
オペレーティングシステム: Windows
IP:220.31.254.151(静岡)
上記が問題でない場合は、このメールを無視してください。
最近iCloudへサインインを行ったことがなく、他者が違法にお客様のアカウントを使用していると考えられる場合は、Apple ID<URLリンク>でパスワードをリセットしてください。
今後ともよろしくお願い致します。
Apple サポートセンター
Apple ID | サポート | プライバシーポリシー
Copyright 2018 Apple Distribution International, Hollyhill Industrial Estate, Hollyhill, Cork, Ireland.すべての権利を保有しております。
リンク先はアカウントを盗むフィッシングサイト
1/22の日記と類似しており、日付とリンク先のみ異なります。
◎1/23
件名:カード利用のお知らせ
From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)
本文:
楽天カードを
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。
で始まるHTMLメール
2018/1/16のものと似ています。
表の中の利用日が異なる程度。
画像で貼ると、
各所にあるリンクは、
IPは同じで、
https://www.virustotal.com/#/ip-address/104.243.33.119
これらのURLにアクセスすると、
楽天銀行の重要な情報.zip
がダウンロードされます。
zipの中身は、楽天銀行の重要な情報.PDF.js
でも1/16のものとは違う内容です。
7431桁の一行テキストです。
◎1/22
件名:あなたのApple IDのセキュリティ質問を再設定してください。
From:Apple <noreply@email.apple.com> (を偽装)
本文:
お客様のApple ID が、ウェブブラウザからiCloudへのサインインに使用されました。
日付と時間:2018年1月19日 22:08 JST
のブラウザ: Chrome
オペレーティングシステム: Windows
IP:220.31.254.151(静岡)
上記が問題でない場合は、このメールを無視してください。
最近iCloudへサインインを行ったことがなく、他者が違法にお客様のアカウントを使用していると考えられる場合は、Apple ID<URLリンク>でパスワードをリセットしてください。
今後ともよろしくお願い致します。
Apple サポートセンター
Apple ID | サポート | プライバシーポリシー
Copyright 2017 Apple Distribution International, Hollyhill Industrial Estate, Hollyhill, Cork, Ireland.すべての権利を保有しております。
2khux�"[1�/�
リンク先はアカウントを盗むフィッシングサイトの模様
◎1/16
件名:カード利用のお知らせ
From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)
本文:
楽天カードを
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。
で始まるHTMLメール
2017/12/29のものと似ています。
画像で貼ると
各所にあるリンクは、入手できたものでは、
これらのIPは同一で、
https://www.virustotal.com/#/ip-address/104.128.73.92
これらのURLにアクセスすると、
楽天銀行の重要な情報.zip
がダウンロードされます。
zipの中身は、楽天銀行の重要な情報.PDF.js
50256桁の一行テキストです。
