はじめに
最近は,Amazonをかたる迷惑メールばかりで,面白くないのだけれど,なんだかわからないメールが来たので,可視化してみた.
まぁ,これもちょっと気づくのが遅かったので,フィッシングサイトか偽ブランドショッピングサイトと思われるものは,既に無くなっていた.
やはり調査もスピード命だね.
逆にいうと,怪しいメールが来たら,数日寝かせておくと,本当に怪しいサイトだったら潰されているし,その逆もあるということじゃないかな.
可視化の結果
今回の最初の調査対象は,誘導先のメールアドレスと,メールアドレス. このメールアドレスの途中に+があるのは,特徴出来だな.(Googleのサブメールアドレス取得の手法)
そしてこのメールの文章は,何を示しているのかDeepLで翻訳.ちょっと何言っているのか,わかりません.
まずは,メールの返信先のMXレコードを調査.Google[.]comなのでGmailを使っている模様.
誘導先のWebサイト.該当のIPアドレスには,複数のドメインが割り当てられていて,その一部にマルウェアがあると表示されている.
ハッシュ値を調べると,いくつかのセキュリティベンダでの評価が.
詳細を確認するために,VirusTotalのサイトを確認したが,73分の5なので,悪いと言い切れないか.
通信先(C2サーバか,リフレクション攻撃先か)にあたるIPアドレスが出ていたので,調査.
これもGoogleでした.172で始まるのでついつい,プライベートアドレスかな?って誤認識してしまう.
次にメールヘッダを確認してみたが,これもGmailで利用されているメールサーバなので,怪しいわけではない.
そして誘導先のサイトに行ってみた.
フランス語で,ノーコメントと書かれているけれど,すぐ転送されちゃうね.Googleの検索ページに.これは封鎖されているからと考えている.