楽天関係をかたった不審メールの配信がありました。
新しい件名のパターンですが、誘導先URLやダウンロードされるマルウェアは同日の「Airdrop申請内容をご確認ください」と同じでした。
また、5/11までの楽天を騙ったメールとC2ドメイン hxxp://chklink[.]club も一緒であり、同一のactorと思われます。

■日時
2018/05/30(水) 19:20頃 - 05/31 6:45頃

■件名
【速報版】カード利用のお知らせ(本人ご利用分)

■送信者
info[@]mail.rakuten-card.co.jp
※不審メールではHeader FromもEnvelope Fromも同一ですが、本物のメールではEnvelope Fromはrcard-card-notice[@]mkrm.rakuten.co.jpになります

■本文

■添付ファイル
なし

■メール内リンク先URL
hxxp://bj.mamabasy[.]com/
hxxp://cr.theblueprintsound[.]com/
hxxp://cw.faragherbrothers[.]com/
hxxp://dm.loriannaharrison[.]com/
hxxp://er.theblueprintsound[.]com/
hxxp://gq.loriannaharrison[.]net/
hxxp://kg.desertlifestyle[.]net/
hxxp://mx.dannyfaragher[.]com/
hxxp://qa.ourclassroomadventures[.]com/
hxxp://tr.faraghermusic[.]com/
このURLは「Airdrop申請内容をご確認ください」の件名と同じく以下のIPに解決されます。
IP: 137.74.249[.]110
https://www.virustotal.com/#/ip-address/137.74.249.110

■ダウンロードされるファイル
これも「Airdrop申請内容をご確認ください」の件名と同じハッシュのものがダウンロードされます。
もっと詳しくの情報はこちら.PDF.js
https://www.hybrid-analysis.com/sample/5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7
ダウンローダ型マルウェアです。

■追加ダウンロードURLおよびダウンロードされるマルウェア
ダウンローダが同一のため、取得するマルウェア不正送金マルウェアursnifも「Airdrop申請内容をご確認ください」の件名と同一です。
hxxp://pf.mrprana[.]com/101010.bin
IP: 137.74.249[.]110
https://www.hybrid-analysis.com/sample/f17f4bffce4586b54cee1b9354f417b5413ed619dc1534431277477adc048d4a?environmentId=100

■C2通信先
hxxp://mp.tallervaldez[.]com
IP: 176.9.164[.]253
hxxp://chklink[.]club
IP: 47.74.132[.]234

■IoC
○URL
hxxp://bj.mamabasy[.]com/
hxxp://cr.theblueprintsound[.]com/
hxxp://cw.faragherbrothers[.]com/
hxxp://dm.loriannaharrison[.]com/
hxxp://er.theblueprintsound[.]com/
hxxp://gq.loriannaharrison[.]net/
hxxp://kg.desertlifestyle[.]net/
hxxp://mx.dannyfaragher[.]com/
hxxp://qa.ourclassroomadventures[.]com/
hxxp://tr.faraghermusic[.]com/
hxxp://mp.tallervaldez[.]com
hxxp://chklink[.]club
○IP
137.74.249[.]110
176.9.164[.]253
47.74.132[.]234
○HASH(SHA256)
5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7
f17f4bffce4586b54cee1b9354f417b5413ed619dc1534431277477adc048d4a