2018/06/07(木) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査
当日の楽天市場をかたったものと同一のハッシュの不審メールのバラマキがありました。
■日時
2018/06/07 17:20頃 - 20:20頃
■件名
【速報版】カード利用のお知らせ(本人ご利用分)
■送信者
info[@]mail.rakuten-card.co[.]jp
以下、楽天市場をかたったものと同一です。
■メール内リンク先URL
hxxp://lk.renoref[.]com
等、全て185.236.202[.]149に解決されるドメイン
■ダウンロードされるファイル
楽天銀行の重要な情報.pdf.js
https://www.hybrid-analysis.com/sample/0f58f2393144d9663f1da3656e9133ce81d5283ab7c065ac9cdaade6282a3ead?environmentId=120
■追加でダウンロードされるファイル(ursnif)
hxxps://hu.obci[.]info/010.bin
https://www.hybrid-analysis.com/sample/9f7b02032349637f0d8c962dab2f08f0e3269c295ac0de385c60274e89390d4b?environmentId=120
本日よりhttpでアクセスした後httpsにリダイレクトされ、httpsからダウンロードするよう変わっています。
■C2
前日と同様で以下です。
hxxp://dwupg[.]icu
49.51.82[.]126
hxxp://ne.winzzer[.]com
176.9.164[.]253