◎2/6
件名:カード利用のお知らせ
From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)
本文:
楽天カードを
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。
で始まるHTMLメール
2018/1/30のものと同様で表中の日付とダウンロードされるjsファイルの中身だけ違います。
画像で貼ると
各所にあるリンクは、入手できたものでは、
いつものように様々なドメインが同じIPアドレスを指しているのでしょう。
IPは、
https://www.virustotal.com/#/ip-address/206.221.187.175
これらのURLにアクセスすると、
楽天銀行の重要な情報.zip
がダウンロードされます。
zipの中身は、楽天銀行の重要な情報.PDF.js
このパターンもしばらく変わっていません。
中身のスクリプトの体裁は毎週変わり、
今回は1行9056桁のスクリプトです。
昼間は検出する対策ソフトなし。
夜でもまだわずかといった状況です。
ダウンロードされたZIPを、ウイルス検査しても大丈夫だったからと過信して、うっかり中の楽天銀行の重要な情報.PDF.jsを開かないようにしてください。