件名：カード利用のお知らせ

From：楽天カード株式会社 <info＠mail.rakuten-card.co.jp> (を偽装)

本文：

 楽天カードを
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。

で始まるHTMLメール

つまり12/27のものと同じです。

画像で貼ると

各所にあるリンクが、別のIPのものとなっています。

https://www.virustotal.com/#/url/50e84f970a37384e2a424871f1f165a0a3c9ea6f764224113bed29d883d88c9a/detection

https://www.virustotal.com/#/ip-address/104.128.73.119

危険サイトは403 Forbiddenを表示しつつ、

楽天銀行の重要な情報.zip

がダウンロードされます。

zipの中身は、楽天銀行の重要な情報.PDF.js

ところがjs自体は、12/27と全然違っています。

https://www.virustotal.com/#/file/1cfe07139a8b02236c848aa5b9f3efd64531385086648d4afa7308f51a08b26b/detection

52129桁の一行であるせいか、タイムアウトするエンジン多数。

 夕方にも届きましたが、IPアドレスは同じ。

https://www.virustotal.com/#/url/f866f07a89fd5de28faa1a24dde243bacd39af90fffbc0517cd21e271754caa9/detection