2018/04/28 『【楽天市場】注文内容ご確認(自動配信メール)』の調査
なんと、過去最長の5日連続にして土曜日の不審メールのばらまきです。
なお、今回も前日と同様にコンテンツが準備されておらず、メール内のリンクをクリックしても実害はありません。
■日時
2018/04/28 14:50 - 17:50 頃
※以下、件名、送信者、本文は4/19(木),4/20(金),4/24(火)-4/27(金)のものと同様です。
■件名
【楽天市場】注文内容ご確認(自動配信メール)
■送信者
order[@]rakuten[.]co.jp
■本文
※お店の名前や注文番号は複数種類パターンがあります
■メール内リンク誘導先
hxxp://ar.mixologypost[.]com/
hxxp://me.theoriginalmaxliquidator[.]com/
hxxp://mg.tidalstormwaterblasters[.]com/
hxxp://rw.maxliquidator[.]net/
hxxp://sj.saveourchildreninc[.]org/
hxxp://sv.tidalstormwaterblasters[.]com/
これらのドメインは全てIPが176.223.165[.]111に作成されています。このIPは4/19(木),20(金),24(火),27(金)でも使用されていたIPになります。
https://www.virustotal.com/#/ip-address/176.223.165.111
アクセスしてもページには以下のように表示されるのみで、マルウェアがダウンロードされることはありませんでした。
前日同様、今回の不審メールの送信の意図は不明です。
■IoC
○URL
hxxp://ar.mixologypost[.]com/
hxxp://me.theoriginalmaxliquidator[.]com/
hxxp://mg.tidalstormwaterblasters[.]com/
hxxp://rw.maxliquidator[.]net/
hxxp://sj.saveourchildreninc[.]org/
hxxp://sv.tidalstormwaterblasters[.]com/
○IP
176.223.165[.]111