楽天市場を騙るマルウェアメールと楽天カードを騙るマルウェアメールがセットで

同じIPへのURLリンクを含んで届きます。

件名：【楽天市場】注文内容ご確認（自動配信メール）

From：楽天市場 <order＠rakuten.co.jp> (を偽装)

本文：

この度は楽天市場内のショップ「ウルトラぎおん楽天市場店」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。（in English)

で始まるHTMLメール

画像で貼ると

 各所のリンクは、

https://www.virustotal.com/#/url/502283c5571da2de42137ddbe640d465a566a00cea37e9243e42745b5d07f3c6/detection

https://www.virustotal.com/#/url/c4ff5c5d3a0b840271738f06c3bee764d338e88b39191520f0a6859a17925710/detection

「.」が抜けて名前解決できないリンクもありました。

https://www.virustotal.com/#/url/386c73944f266c677b5b3a00fa01a6056c11a1bb13dd86b20aafe4aba49b1aa2/detection

IPは、

https://www.virustotal.com/#/ip-address/198.98.48.158

ダウンロードされるのは、「もっと詳しくの情報はこちら.zip」

https://www.virustotal.com/#/file/22878784a58e056a28c819fdf64a71d3d666a64dfc93c87ceedb5d2b02390c9d/detection

zipの中身は、「もっと詳しくの情報はこちら.PDF.js」

https://www.virustotal.com/#/file/3cd5240e10e1e8a7d5ff5a74fcbdcd41945df1387346426826cd519cd23d729d/detection

例によって、中身のjsの方がzipよりも検出製品が少ない状況です。