bomb_log

セキュリティに関するbom

トップ > 2018/04/28 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

2018/04/28 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

なんと、過去最長の5日連続にして土曜日の不審メールのばらまきです。
なお、今回も前日と同様にコンテンツが準備されておらず、メール内のリンクをクリックしても実害はありません。

■日時
2018/04/28 14:50 - 17:50 頃

※以下、件名、送信者、本文は4/19(木),4/20(金),4/24(火)-4/27(金)のものと同様です。

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
order[@]rakuten[.]co.jp

■本文

f:id:bomccss:20180429033022p:plain

※お店の名前や注文番号は複数種類パターンがあります

■メール内リンク誘導先
hxxp://ar.mixologypost[.]com/
hxxp://me.theoriginalmaxliquidator[.]com/
hxxp://mg.tidalstormwaterblasters[.]com/
hxxp://rw.maxliquidator[.]net/
hxxp://sj.saveourchildreninc[.]org/
hxxp://sv.tidalstormwaterblasters[.]com/

これらのドメインは全てIPが176.223.165[.]111に作成されています。このIPは4/19(木),20(金),24(火),27(金)でも使用されていたIPになります。
https://www.virustotal.com/#/ip-address/176.223.165.111

アクセスしてもページには以下のように表示されるのみで、マルウェアがダウンロードされることはありませんでした。

f:id:bomccss:20180430092802p:plain
前日同様、今回の不審メールの送信の意図は不明です。


IoC

○URL
hxxp://ar.mixologypost[.]com/
hxxp://me.theoriginalmaxliquidator[.]com/
hxxp://mg.tidalstormwaterblasters[.]com/
hxxp://rw.maxliquidator[.]net/
hxxp://sj.saveourchildreninc[.]org/
hxxp://sv.tidalstormwaterblasters[.]com/

○IP
176.223.165[.]111