件名：カード利用のお知らせ

From：楽天カード株式会社 <info＠mail.rakuten-card.co.jp> (を偽装)

本文：

楽天カードを
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。

で始まるHTMLメール

2018/2/6のものと同様で表中の日付とダウンロードされるjsファイルの中身だけ違います。

画像で貼ると

各所にあるリンクは、入手できたものでは、

https://www.virustotal.com/#/url/8c45a758cc2548ae1813e94033186a701c08c8d38c6bbc14e998094f713e4b9f/detection

https://www.virustotal.com/#/url/2d9f897f306f0dcec97a96762768af461050bb4094557a23592093a0843ce4e6/detection

IPは、

https://www.virustotal.com/#/ip-address/206.221.187.175

これらのURLにアクセスすると、
楽天銀行の重要な情報.zip
がダウンロードされます。
zipの中身は、楽天銀行の重要な情報.PDF.js

このパターンもしばらく変わっていません。

前回に類似して長い1行スクリプトです。

今回も翌日未明でも検出するソフトは7/59といったところです。

https://www.virustotal.com/#/file/307dd49054f800c01dab40a9f7f874fc975eeda91fe4b058ef3b18cf3dc8d7c2/detection