件名：【速報版】カード利用のお知らせ(本人ご利用分)

From：楽天カード株式会社 <info＠mail.rakuten-card.co.jp> (を偽装)

本文：

楽天銀行カード（JCB）を
ご利用いただき、誠にありがとうございます
お客様のご利用情報が到着いたしましたので、速報としてご案内させていただきます。

で始まるHTMLメール

画像で貼ると

5通届いて、最初の1通はfromが文字化け、残りは正常

To：が同一ドメインの複数アドレス

各所のリンクは、

https://www.virustotal.com/#/url/41e63c4e01459e1592202870f446e6bb34dce5f76b7c37df89717fb7d8da8357/detection

https://www.virustotal.com/#/url/daa16ae08d1d302f143aa490032eebd1079fbb5974a6b133f79920c9bc348752/detection

https://www.virustotal.com/#/url/7ec54d0d2e9870080866d7ab3685e497cd03e183afc7119a4b8ec00f2a656012/detection

https://www.virustotal.com/#/url/b257a32f7054fb0e0a6b908cf64d2b2a2f0264ff829f71ef6fe202d71e553100/detection

https://www.virustotal.com/#/url/9518488663d7166cd7804382ccf767ddb0f15e5a8534d4e53a93babab9b1b084/detection

IPは同じで、

https://www.virustotal.com/#/ip-address/137.74.249.110

 これは、5/30の日記のAirDropと同じです。

ダウンロードされるのは当然同じで、もっと詳しくの情報はこちら.zip

https://www.virustotal.com/#/file/7124f1a527c245d5096a9afdb5059bc189de5f578970721c32aa21abe412e497/detection

zipの中身は、もっと詳しくの情報はこちら.PDF.js

https://www.virustotal.com/#/file/5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7/detection