件名：カード利用のお知らせ

From：楽天カード株式会社 <info＠mail.rakuten-card.co.jp> (を偽装)

本文：

楽天カードを
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。

 

 で始まるHTMLメール

2018/1/30のものと同様で表中の日付とダウンロードされるjsファイルの中身だけ違います。

画像で貼ると

各所にあるリンクは、入手できたものでは、

https://www.virustotal.com/#/url/e41d0992580ba5192dd0ae1861208c387ab1d8a19ad8e0d5972050af66a85a00/detection

いつものように様々なドメインが同じIPアドレスを指しているのでしょう。

IPは、

https://www.virustotal.com/#/ip-address/206.221.187.175

これらのURLにアクセスすると、
楽天銀行の重要な情報.zip
がダウンロードされます。
zipの中身は、楽天銀行の重要な情報.PDF.js

このパターンもしばらく変わっていません。

中身のスクリプトの体裁は毎週変わり、

今回は1行9056桁のスクリプトです。

昼間は検出する対策ソフトなし。

夜でもまだわずかといった状況です。

https://www.virustotal.com/#/file/969d4feb6831d918157dce799d764854c9dbca643328d522fee3272a5b215f60/detection

ダウンロードされたZIPを、ウイルス検査しても大丈夫だったからと過信して、うっかり中の楽天銀行の重要な情報.PDF.jsを開かないようにしてください。