件名：【楽天カード】カードご請求金額のご案内

From：楽天カード株式会社 <info＠mail.rakuten-card.co.jp> (を偽装)

本文：

【2018年6月度】 ご請求金額のご案内
いつも楽天銀行カード（JCB）をご利用いただきありがとうございます。
4月分のご請求金額が確定いたしましたのでご案内いたします。

で始まるHTMLメール

リモートコンテンツ非表示状態で画像(細長いので縦2分割)で貼ると

各所のリンクがzipファイルが降ってくるサイトで、

数多くのドメイン名が一つのIPというのはこれまでと同じパターンです。

https://www.virustotal.com/#/url/a13fda9cfe27f535c22ef3a16f94ba9d82a0569e9c46b9ae306e0b06b48ec8a2/detection

https://www.virustotal.com/#/url/48dc08298f3ebac85d6b5f1ac41e42593453784f1e84b2bd1c0fe4f2496532fe/detection

https://www.virustotal.com/#/url/b20af787fb18c77222f694952b0b755b2490ea64f1b3ca910ba4a17d8c38b89e/detection

https://www.virustotal.com/#/url/6a91d8c8537da27ca4af54056e8405bc50ebceb4dc03b573e5e49035cd583271/detection

IPは同じで、

https://www.virustotal.com/#/ip-address/198.98.48.158

ダウンロードされるのは毎度のファイル名

もっと詳しくの情報はこちら.zipで

https://www.virustotal.com/#/file/5528f35be533287366b678de8741c230c2d440e579a659003d84465f0e303342/detection

zipの中身は、もっと詳しくの情報はこちら.PDF.js

https://www.virustotal.com/#/file/3f057cd1cc91d243859526d4bf78270ed89ec54655e56d8d65bd4030db00a6b1/detection