

楽天に成りすます詐欺メール実例
件名 [楽天]会員情報変更のお知らせ / カード利用のお知らせ
送信者 <myinfo@rakuten.co.jp>
{━━━━━{ 楽天カードからのお知らせ{━━━━━{いつも楽天カードをご利用いただきありがとうございます。
題名 : [楽天]会員情報変更のお知らせ
差出人 : myinfo@rakuten.co.jp
アドレスブックに登録する
全ヘッダー表示▼
こちらをクリックして、ご請求を詳しく説明してください
{https://member.id.rakuten.co.jp/rms/menufwd/[数字]
※このメールはお客様の会員登録の情報が変更されたことをお知らせする重要なご連絡です。
 ̄ ̄ ̄ ̄ ̄
ただいま、お客様からの変更処理に基づいて会員登録情報が変更されました。
万が一、本メールの内容に覚えがない場合には以下までお問い合わせください。
-----
楽天市場 お客様サポートセンター
>電話でのお問い合わせ
電話番号: 050-[数字]-[数字]
受付時間: 9:00 ~18:00 (年中無休)
※通話料は、お客様負担となります。
>チャットでのお問い合わせ
受付時間: 9:30 ~翌1:00(年中無休)
>メールでのお問い合わせ
受付時間: 24時間365日(年中無休)
-----
変更された情報は、以下のページよりご確認いただけます。
■楽天会員情報の管理画面
https://member.id.rakuten.co.jp/rms/nid/menufwd
【メールアドレスを変更された場合】
セキュリティ確保の観点から、変更前のメールアドレスにもこのメールを
送信させていただいております。
=====
※当社の個人情報の取扱いについては「個人情報保護方針」をご覧ください。
https://privacy.rakuten.co.jp/
※本メールは送信専用です。
ご返信いただきましてもお答えできませんのでご了承ください。
━━━━━
■楽天株式会社
件名 カード利用のお知らせ / 【重要】カスタマセンターからのご案内【楽天カード株式会社】
送信者 楽天カード株式会社 <support@mail.rakuten-card.co.jp>
━━━━━
【重要】カスタマセンターからのご案内
━━━━━
平素は、楽天カードをご愛顧賜り誠にありがとうございます。
当社からの重要なご案内をお送りいたしますので、
下記内容をご確認いただきますよう、何卒お願い申し上げます。
ただいま、お客様からの変更処理に基づいて会員登録情報が変更されました。
万が一、本メールの内容に覚えがない場合には以下までお問い合わせください。
{https://www.rakuten-card.co.jp/guide/securityinfo[数字]
{https://www.rakuten-card.co.jp/e-navi/members/information/customer/[数字]
※このメールはお客様の会員登録の情報が変更されたことをお知らせする重要なご連絡です。
━━━━━
<お問い合わせ先>
楽天カード株式会社 カスタマセンター
電話番号:0570-[数字]-[数字]
(一部ご利用いただけない場合は092-[数字]-[数字]をご利用ください。)
営業時間:8:15-20:40
━━━━━
※このメールの送信アドレスは送信専用となっておりますので、
本メールへのご返信はご遠慮いただきますようお願いいたします。
━━━━━
発行元 楽天カード株式会社

感染手口はスクリプトファイル

- 「こちらをクリックして、ご請求を詳しく説明してください」
- 「https://member.id.rakuten.co.jp/ ~」
- 「https://www.rakuten-card.co.jp/ ~」
- 「チャットでのお問い合わせ」
- 「メールでのお問い合わせ」

詐欺メールのリンクからファイルのダウンロード



【楽天偽装メールで受け取ったファイル例】
楽天カードからのお知らせ.zip
詳細情報楽天銀行.zip
楽天カード株式会社の重要な情報.zip
楽天銀行の重要な情報.zip
料金明細をチェック.DOC.js (twqgbbdj.DOC.js)
楽天カードからのお知らせ.DOC.js (rxfijnxwmnxd.DOC.js)
楽天カード株式会社の重要な情報.PDF.js (rxfijqzwuwpxsvj.PDF.js)
楽天カード株式会社の重要な情報.DOC.js (rxfijqzwuwpxsvj.DOC.js)
楽天銀行の重要な情報.PDF.js (rxmawpxsvj.PDF.js)

jsファイルを開いた直後のプロセスの様子
powershell.exe が起動してダウンロードする処理
【不正なスクリプトファイル】
MD5 52443dccb7dc33feb194616dc64a4bf1
www.virustotal.com/ja/file/59b5974f1e85a8ed5d46d4eaafe3d0253b1b9854e6c87e5216e03c805d91c8fa/analysis/1509948004/
MD5 0ca5ea1fa8b190dbb784da90fd8338ed
www.virustotal.com/ja/file/35786105c37c964a3d7a392cccfd475968a0c1f2b7431135d338f56967ea4711/analysis/1510025217/
MD5 8fce66b200fdb969d565b79ca7b5b687
www.virustotal.com/ja/file/6e8e8a57fe7fe71028116307b7a663bc53af41a1f485acbcfdb931538758f31a/analysis/1510127037/
Kaspersky HEUR:Trojan.Script.Agent.gen Trojan-Downloader.JS.Agent.ocz
Microsoft TrojanDownloader:JS/Nemucod
Symantec JS.Downloader!gen40 JS.Downloader Trojan Horse JS.Downloader
Trend Micro JS_POWLOAD.ELDSAUGY JS_POWLOAD.ELDSAUGL JS_URSNIF.EL
【Ursnifウイルス】
MD5 16e77b773f93fc34cfd96f85bc5a91c8
www.virustotal.com/ja/file/2ae61221730ef12a4ef9c3f79536d40d5a89f8dc65fa7b64fb18478c1e752a19/analysis/1509948204/
MD5 5472a9db62047bf6fa814691e94db7e9
www.virustotal.com/ja/file/530ca8955b5cb50945ec1850c19724c59399dfccb4b6777ab7d76fd47f955205/analysis/1510026953/
MD5 3e89505d1c8a428290d7753205cf215b
www.virustotal.com/ja/file/3216b1be048030dbbd8b88e8081661cb25272557f63101a1b31e0314fe9d72d3/analysis/1510129008/
Kaspersky Trojan-Spy.Win32.Ursnif.ulw Trojan-Spy.Win32.Ursnif.umh Trojan-Spy.Win32.Ursnif.umw
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIRF TSPY_URSNIF.AUSIRG TSPY_URSNIF.AUSIRH


感染を防ぐ強力なウイルス対策2つ




コメント