2018-06-26

◎6/26

件名：【楽天カード】カードご請求金額のご案内

From：楽天カード株式会社 <info＠mail.rakuten-card.co.jp> (を偽装)

本文：

【2018年6月度】ご請求金額のご案内
いつも楽天銀行カード（JCB）をご利用いただきありがとうございます。
4月分のご請求金額が確定いたしましたのでご案内いたします。

で始まるHTMLメール

リモートコンテンツ非表示状態で画像(細長いので縦2分割)で貼ると

f:id:malware_mail:20180626225332p:plain

f:id:malware_mail:20180626225351p:plain

各所のリンクがzipファイルが降ってくるサイトで、

数多くのドメイン名が一つのIPというのはこれまでと同じパターンです。

https://www.virustotal.com/#/url/a13fda9cfe27f535c22ef3a16f94ba9d82a0569e9c46b9ae306e0b06b48ec8a2/detection

https://www.virustotal.com/#/url/48dc08298f3ebac85d6b5f1ac41e42593453784f1e84b2bd1c0fe4f2496532fe/detection

https://www.virustotal.com/#/url/b20af787fb18c77222f694952b0b755b2490ea64f1b3ca910ba4a17d8c38b89e/detection

https://www.virustotal.com/#/url/6a91d8c8537da27ca4af54056e8405bc50ebceb4dc03b573e5e49035cd583271/detection

IPは同じで、

https://www.virustotal.com/#/ip-address/198.98.48.158

ダウンロードされるのは毎度のファイル名

もっと詳しくの情報はこちら.zipで

https://www.virustotal.com/#/file/5528f35be533287366b678de8741c230c2d440e579a659003d84465f0e303342/detection

zipの中身は、もっと詳しくの情報はこちら.PDF.js

https://www.virustotal.com/#/file/3f057cd1cc91d243859526d4bf78270ed89ec54655e56d8d65bd4030db00a6b1/detection

2018-06-25

◎6/25

件名：【振込み確認書】18.06.14

本文：

いつも大変お世話になっております。

ファイルを添付致します。
ご査収下さいます様、宜しくお願い申し上げます。

本日、オンラインにてお振込みが完了しましたのでご連絡させて頂きます。
ご確認下さいますよう、宜しくお願い致します。

今後とも、宜しくお願い申し上げます。

添付ファイル：[DIGIT[1]}_【振込み確認書】18.06.14.xls

https://www.virustotal.com/#/file/a67ec026bfab756d4a8ae7eb6441c37db2075f5ccba4fbc54020e8551a28f8fb/detection

2018-06-14

◎6/13

件名：COPY数字11桁

From：FIRSTNAME <FIRSTNAME＠Toドメイン> (を偽装)

本文：Sent from my Samsung device

添付ファイル：COPY数字11桁.iqy

iqyファイルは、

WEB
1
ttp://brtt7.com/preload.gif

といった記述。

iqyファイル自体は、

https://www.virustotal.com/#/file/47bdb8e1975c5162d35d6b42a395e7a61211364c55824525ea41c27c671d68fd/detection

記述されたURLは、

https://www.virustotal.com/#/url/e1d5167a7e8b64616f4d70620e02116bd670b74843ddc006bfee834d7bfba895/detection

2018-06-12

◎6/12

楽天カードを騙るメールもリンク先のIPは同じです。

件名：カード利用のお知らせ

From：楽天カード株式会社 <info＠mail.rakuten-card.co.jp> (を偽装)

本文：

楽天カードを
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。

で始まるHTMLメール。

画像で貼ると

f:id:malware_mail:20180612212730p:plain

各所のリンクは、

https://www.virustotal.com/#/url/43ce0ff7027e18fb733ef146a1d79f4435e8c8bd2bfd829e7aa95312d482f85a/detection

IPは、

https://www.virustotal.com/#/ip-address/198.98.48.158

で、6/12の楽天市場を騙るメールと同じです。

同じIPなので、ダウンロードされるのは、「もっと詳しくの情報はこちら.zip」

というのも同じです。

2018-06-12

◎6/12

楽天市場を騙るマルウェアメールと楽天カードを騙るマルウェアメールがセットで

同じIPへのURLリンクを含んで届きます。

件名：【楽天市場】注文内容ご確認（自動配信メール）

From：楽天市場 <order＠rakuten.co.jp> (を偽装)

本文：

この度は楽天市場内のショップ「ウルトラぎおん楽天市場店」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。（in English)

で始まるHTMLメール

画像で貼ると

f:id:malware_mail:20180612210739p:plain

各所のリンクは、

https://www.virustotal.com/#/url/502283c5571da2de42137ddbe640d465a566a00cea37e9243e42745b5d07f3c6/detection

https://www.virustotal.com/#/url/c4ff5c5d3a0b840271738f06c3bee764d338e88b39191520f0a6859a17925710/detection

「.」が抜けて名前解決できないリンクもありました。

https://www.virustotal.com/#/url/386c73944f266c677b5b3a00fa01a6056c11a1bb13dd86b20aafe4aba49b1aa2/detection

IPは、

https://www.virustotal.com/#/ip-address/198.98.48.158

ダウンロードされるのは、「もっと詳しくの情報はこちら.zip」

https://www.virustotal.com/#/file/22878784a58e056a28c819fdf64a71d3d666a64dfc93c87ceedb5d2b02390c9d/detection

zipの中身は、「もっと詳しくの情報はこちら.PDF.js」

https://www.virustotal.com/#/file/3cd5240e10e1e8a7d5ff5a74fcbdcd41945df1387346426826cd519cd23d729d/detection

例によって、中身のjsの方がzipよりも検出製品が少ない状況です。

2018-06-08

◎6/7

6/6と同様に悪質リンクを含む楽天市場を騙るマルウェアメールと楽天カードを騙るマルウェアメールが届いています。リンク先のIPは同じですが、ダウンロードされるzipの中身は変わっていました。

楽天市場を騙るメール中のリンク

https://www.virustotal.com/#/url/02fbb8b68c95c614898a3a0a32b9edc114410dcce662d739ee56bcd803257e41/detection

https://www.virustotal.com/#/url/afb22d43f3c03a0913bee6c1b49755b97fdc3cab081f4db0aa00c35f50612bfc/detection

https://www.virustotal.com/#/url/4eacce758454f490239aa15d7daf9bf10307388c28705b07f86e2d274474be4e/detection

楽天カードを騙るメール中のリンク

https://www.virustotal.com/#/url/55ca8892692e997d6e069ecf78b9a6e62cb005f8b723134df0b52fa6ea0669e8/detection

https://www.virustotal.com/#/url/5412ee6f376604e974a8c1614255bf8dc8db79a77017c1dc10735e4e8fb206d6/detection

どれもIPは、

https://www.virustotal.com/#/ip-address/185.236.202.149

これは6/6のものと同じですが、ダウンロードされるのは、「楽天銀行の重要な情報.zip」

https://www.virustotal.com/#/file/da59d6ab7ee07f3eaab246b873a1a36a0994bbdfc68d4368a3e0697d5e2c7a0f/detection

zipの中味が6/6と違って「楽天銀行重要な情報.pdf.js」（「の」が無い。pdfが小文字)

https://www.virustotal.com/#/file/0f58f2393144d9663f1da3656e9133ce81d5283ab7c065ac9cdaade6282a3ead/detection

3万桁弱の1行スクリプトであることは同じですが。

2018-06-07

◎6/6

件名：【速報版】カード利用のお知らせ(本人ご利用分)

From：楽天カード株式会社 <info＠mail.rakuten-card.co.jp> (を偽装)

本文：

楽天銀行カード（JCB）を
ご利用いただき、誠にありがとうございます
お客様のご利用情報が到着いたしましたので、速報としてご案内させていただきます。

で始まるHTMLメール

各所のリンクからマルウェア入りzipファイルがダウンロードされます。

リンク先は、IP末尾が1違う2種類

https://www.virustotal.com/#/url/806781f9e78fe25b0d9be9b682199c7ebc88fade9b1af1f16948161ab43066f4/detection

https://www.virustotal.com/#/url/7a09dcc2611aaf237da219897f9f650535e283fb717800ae76a63e173a1dc258/detection

IPは、

https://www.virustotal.com/#/ip-address/185.236.202.149

https://www.virustotal.com/#/ip-address/185.236.202.148

ダウンロードされるのは、「楽天銀行の重要な情報.zip」で

https://www.virustotal.com/#/file/ce53e01492471750f9ca1f85acdaf9c6f225487cba9e4c8995a57241b00b6d48/detection

zipの中身は、「料金明細をチェック.DOC.js」と「楽天銀行の重要な情報.PDF.js」の2個

https://www.virustotal.com/#/file/fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735/detection

https://www.virustotal.com/#/file/ac7d0efeb3d688a3ebb939fe0604b094c7c4011dd65dd0040b496f9a03ee9c12/detection

malware_mailの日記

個人メールアドレスに届いたマルウェアメールを記録

◎6/26

◎6/25

◎6/13

◎6/12

◎6/12

◎6/7

◎6/6