昨年からビジネスメールの文章を使ったマルウェア付のメールが不特定多数に配信されていますが、今回はいつも以上に拡散されております。十分注意してください。
今回のマルウェア付のメールは「インボイス用紙.ZIP」という添付ファイル(圧縮ファイル)で添付されています。
実際に受け取った内容は次の通りです。(そのまま文章をコピーしていますので、若干変化があるかもしれません)
件名:日本郵便 インボイス用紙
本文:
アライバル訂正ありがとうございました。
その他書類の訂正ですが、一旦このまま申告進めます。
税関に聞かれた場合、前回頂いた書類にて説明致します。
もし現地ご確認後、差し替えが間に合えば対応させて頂きます。
税関申告上、望ましいとおもいます。
引き続き宜しくお願いいたします。
といった文章です。
ヘッダー情報はこちら(偽造メールアドレスと自分のメールアドレスは伏せてあります。偽造メールアドレスの部分は実際に存在する国内のメールアドレスのようです。)
Received: from 58.red-81-39-205.dynamicip.rima-tde.net ([IPアドレス])
by DBRVWCBX ([サーバーアドレス], envelope-sender=<偽造メールアドレス>)
with SMTP (noSPAMtoday 3.0.5.1); Thu, 01 Jun 2017 20:04:43 +0900
Received: from [IPアドレス] (account fraud@aexp.com HELO zuafibks.bfnyfx.aexp.com)
by 58.red-81-39-205.dynamicip.rima-tde.net (Exim 4.89)
with ESMTPA id h6MklIM8F.231 for 自分のメールアドレス; Thu, 1 Jun 2017 12:04:49 +0100
Return-Path: 偽造メールアドレス
Date: Thu, 1 Jun 2017 12:04:49 +0100
From: 偽造メールアドレス
To: <自分のメールアドレス>
Message-ID: <677752.2885b6ba67e3d4@HFCQ924.info>
Subject: =?UTF-8?B?5pel5pys6YO15L6/IOOCpOODs+ODnOOCpOOCueeUqOe0mQ==?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="1001560-55436554-9673736006:5390"
別のメールヘッダー
Received: from [IPアドレス] ([IPアドレス])
by DBRVWCBX ([メールサーバーアドレス], envelope-sender=<偽装メールアドレス>)
with SMTP (noSPAMtoday 3.0.5.1); Thu, 01 Jun 2017 19:21:44 +0900
Received: from [[IPアドレス] (helo=xxyu.ysp.aexp.com)
by with esmtpa id YHx1p2g.274
for hutatui@dsbell.mydns.jp; Thu, 1 Jun 2017 12:21:55 +0200
Return-Path: 偽装メールアドレス
Date: Thu, 1 Jun 2017 12:21:55 +0200
From: 偽装メールアドレス
To: <自分のメールアドレス>
Message-ID: <4b67fbfd865132b1.7df7e009@2PW5065.tv>
Subject: =?UTF-8?B?5pel5pys6YO15L6/IOOCpOODs+ODnOOCpOOCueeUqOe0mQ==?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="QTE8SICHQEKGC22EO98N4XBG"
このほかにも同時に、別のマルウェア付メールも同時に拡散されているようです。
こちらも受け取ったメールの文章をそのままコピーしております。
件名:請求書
本文:
お世話になっております。
無事許可となりました。
添付の通り許可書類と送り状ご連絡いたします。
--------------------------------------------------------------------------------
お世話になっております。
無事許可となりました。
添付の通り許可書類と送り状ご連絡いたします。
六朗
こちらはコマーシャル・インボイス.xlsという添付ファイルが付いております。
ヘッダー情報はこちら(偽造メールアドレスと自分のメールアドレスは伏せてあります。偽造メールアドレスの部分は実際に存在する国内のメールアドレスのようです。)
Received: from [アドレス] ([IPアドレス])
by DBRVWCBX ([アドレス], envelope-sender=<serranobb1@brnet.de>)
with SMTP (noSPAMtoday 3.0.5.1); Thu, 01 Jun 2017 17:06:39 +0900
Received: from sonacoq.wylogyx.club (sonacoq.wylogyx.club
[IPアドレス]) by with SMTP id
5BAc37Ad; Thu, 1 Jun 2017 16:06:43 +0800
Received: from sonacoq.wylogyx.club (sonacoq.wylogyx.club [IPアドレス])
by sonacoq.wylogyx.club with ESMTP
id 5aYZ1HXPu4fY.641; Thu, 1 Jun 2017 16:06:43 +0800
Date: Thu, 1 Jun 2017 16:06:43 +0800
From: <(偽装メールアドレス)>
Reply-To: <(偽装メールアドレス)>
To: <(自分のメールアドレス)>
Message-ID: <963685.40903.iu@brnet.de>
Subject: =?ISO-2022-JP?B?GyRCQEE1YT1xGyhC?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="_nmsxf_64_9207ec75569d94c51970cff"
メールヘッター情報を見ると、同じ所のサーバーを介して(中継して)どうやら不特定多数に発信しているようです。
これらのメールにはインターネットバンキングの情報などを盗み取るマルウェア「Gozi」(別名「Ursnif」「Snifula」「Papras」)が仕組まれているようですので、絶対に添付ファイルは開かないようにしてください。
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/33d66e47.69743159.33d66e48.f37c3978/?me_id=1409719&item_id=10000254&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbestlife-store%2Fcabinet%2F09572204%2Fwhitepc_rtx3070_bwn.jpg%3F_ex%3D300x300&s=300x300&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/33d67014.35368b22.33d67015.77fb54da/?me_id=1407733&item_id=10000637&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_gold%2Fdospara-r%2Fimg%2Fitem%2Fdospara-r_12058.jpg%3F_ex%3D300x300&s=300x300&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
コメント