前日に引き続き、メール内のリンクから誘導しダウンロードさせるタイプの不審メールの配布がありました。

■日時
2018/06/07(木) 14:55頃 - 17:35頃
■件名
【楽天市場】注文内容ご確認（自動配信メール）
■送信者
order[@]rakuten.co.jp

■添付ファイル
なし

■メール内リンク先URL
hxxp://lk.renoref[.]com
等、全て185.236.202[.]149に解決されるドメイン

■ダウンロードされるファイル
楽天銀行の重要な情報.pdf.js
https://www.hybrid-analysis.com/sample/0f58f2393144d9663f1da3656e9133ce81d5283ab7c065ac9cdaade6282a3ead?environmentId=120
■追加でダウンロードされるファイル(ursnif)
hxxps://hu.obci[.]info/010.bin
https://www.hybrid-analysis.com/sample/9f7b02032349637f0d8c962dab2f08f0e3269c295ac0de385c60274e89390d4b?environmentId=120

本日よりhttpでアクセスした後httpsにリダイレクトされ、httpsからダウンロードするよう変わっています。

■C2
前日と同様で以下です。
hxxp://dwupg[.]icu
49.51.82[.]126
hxxp://ne.winzzer[.]com
176.9.164[.]253