楽天をかたった不審メールで、メール内リンクからダウンロードされるファイルを実行すると、不正送金マルウェアに感染します。
インジケータ等のみを記載シておきます。

■日時
2018/06/26 16:25 -

■件名
【楽天カード】カードご請求金額のご案内

■送信者
info[@]mail.rakuten-card.co[.]jp

■メール内リンク
（例）
hxxp://qa.thelovechoice[.]com/
IP：198.98.48[.]158
https://www.virustotal.com/#/ip-address/198.98.48.158
上記IPに紐づくドメインが大量に作られ、そのドメインにアクセスすると以下のファイルがダウンロードされます

■ダウンロードファイル
chromeでアクセスすると以下ファイルがダウンロードされます。IEでアクセスするとzipファイル形式でダウンロードされます。
もっと詳しくの情報はこちら.pdf.js
https://www.hybrid-analysis.com/sample/3f057cd1cc91d243859526d4bf78270ed89ec54655e56d8d65bd4030db00a6b1?environmentId=100
https://www.virustotal.com/#/file/3f057cd1cc91d243859526d4bf78270ed89ec54655e56d8d65bd4030db00a6b1/detection
https://app.any.run/tasks/4fbbdc27-2160-463a-9e07-4b6b14ac217e

このファイルを実行しない限り、マルウェアには感染しません。

■二次ダウンロード
上記jsを実行すると、以下へアクセスしマルウェアをダウンロード・実行されます。
不正送金マルウェア（バンキングトロジャン）のursnifです。
hxxps://gy.nuecesbend.com/0.bin
IP 198.98.48[.]158
https://www.hybrid-analysis.com/sample/41F89827217F8749BBD170FDEBE998922F40CCF43225BAEF9395DB8A70D056C4?environmentId=100
https://app.any.run/tasks/b7b06920-fcc0-4c8d-a1e8-352d11c3de8c
https://cape.contextis.com/analysis/11659/

■C2

bz[.]ecologicindustriesllc[.]com
pingdns[.]xyz/images/1.png
198.98.48.158