件名：【速報版】カード利用のお知らせ(本人ご利用分)

From：楽天カード株式会社 <info＠mail.rakuten-card.co.jp> (を偽装)

本文：

 楽天銀行カード（JCB）を
ご利用いただき、誠にありがとうございます
お客様のご利用情報が到着いたしましたので、速報としてご案内させていただきます。

 で始まるHTMLメール

各所のリンクからマルウェア入りzipファイルがダウンロードされます。

リンク先は、IP末尾が1違う2種類

https://www.virustotal.com/#/url/806781f9e78fe25b0d9be9b682199c7ebc88fade9b1af1f16948161ab43066f4/detection

https://www.virustotal.com/#/url/7a09dcc2611aaf237da219897f9f650535e283fb717800ae76a63e173a1dc258/detection

IPは、

https://www.virustotal.com/#/ip-address/185.236.202.149

https://www.virustotal.com/#/ip-address/185.236.202.148

ダウンロードされるのは、「楽天銀行の重要な情報.zip」で

https://www.virustotal.com/#/file/ce53e01492471750f9ca1f85acdaf9c6f225487cba9e4c8995a57241b00b6d48/detection

zipの中身は、「料金明細をチェック.DOC.js」と「楽天銀行の重要な情報.PDF.js」の2個

https://www.virustotal.com/#/file/fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735/detection

https://www.virustotal.com/#/file/ac7d0efeb3d688a3ebb939fe0604b094c7c4011dd65dd0040b496f9a03ee9c12/detection