Електронно извлечение от Администрацията за социално осигуряване е достъпно. Измама по имейл.

Киберпрестъпниците често използват убедителни имейл кампании, за да подведат получателите да отворят злонамерени файлове, да разкрият чувствителна информация или да инсталират зловреден софтуер. Поради тази причина е важно да се внимава, когато пристигне неочакван имейл, особено когато се твърди, че съдържа важни документи или спешни известия. Имейлите от типа „Електронно извлечение на Администрацията за социално осигуряване е налично“ са отличен пример за тази тактика. Тези съобщения са измамни и не са свързани с никакви легитимни компании, организации, държавни агенции или организации. Единствената им цел е да заразят устройствата на жертвите и да предоставят на нападателите неоторизиран достъп.

По-отблизо поглед към измамата

Анализът на имейлите „Електронното извлечение на Администрацията за социално осигуряване е налично“ разкри, че те са част от злонамерена спам кампания, предназначена да се представя за Администрацията за социално осигуряване (SSA). Имейлите невярно информират получателите, че тяхното извлечение за социално осигуряване за 2026 г. е достъпно за изтегляне.

За да изглежда съобщението автентично, измамниците включват подробности като референтен номер, дата и видно показан бутон „Изтегляне на електронно извлечение“. Тези елементи имат за цел да създадат усещане за легитимност и да насърчат получателите да се доверят на имейла. Истинската Администрация за социално осигуряване обаче няма никакво участие в тези съобщения.

Целта на кампанията е да привлече получателите да кликнат върху предоставения бутон, което инициира следващия етап от атаката.

Порталът за фалшива проверка

Получателите, които кликнат върху бутона за изтегляне, биват пренасочени към измамен уебсайт, внимателно проектиран да наподобява официална страница на SSA. При пристигането си, на посетителите се показва съобщение „Изисква се проверка на самоличността“ и те биват инструктирани да взаимодействат с плъзгач, за да започнат процеса на изтегляне на документа.

Вместо да предостави декларация за социално осигуряване, уебсайтът автоматично доставя файл с име „ScreenConnect.ClientSetup.msi“ до устройството на посетителя. Сайтът показва и известие, в което се твърди, че достъпът до документи е възможен само чрез компютри с Windows. Това ограничение е умишлено, тъй като помага на атакуващите да се насочат към потребители на Windows и увеличава вероятността злонамереният инсталатор да функционира правилно.

Процесът на проверка не служи за никаква легитимна цел и съществува единствено, за да изглежда изтеглянето надеждно.

Как работи злонамереният инсталатор

Изтегленият файл съдържа модифицирана версия на ScreenConnect, известен още като ConnectWise Control. При нормални обстоятелства ScreenConnect е легитимен инструмент за отдалечен работен плот и поддръжка, широко използван от ИТ специалисти и организации.

В тази кампания обаче софтуерът е променен и конфигуриран да установява тиха връзка със сървъри, контролирани от нападателите. След като бъде инсталиран и изпълнен, троянското приложение предоставя на злонамерените лица отдалечен достъп до компрометираната система без наблюдение.

Това ниво на достъп позволява на нападателите да извършват широк спектър от злонамерени дейности без знанието на жертвата.

Опасностите от компрометиране на отдалечена система

Когато нападателите получат отдалечен достъп чрез злонамерен софтуер, последствията могат да бъдат тежки. Те може да са в състояние да:

• Следете дейностите на жертвата и преглеждайте всичко, показано на екрана.
• Кражба на документи, данни за вход, банкова информация и други чувствителни данни.
• Инсталирайте допълнителен зловреден софтуер, включително рансъмуер, шпионски софтуер или заплахи за кражба на информация.
• Манипулиране на файлове и системни настройки.
• Извършвайте неоторизирани финансови транзакции или злоупотребявайте с компрометирани онлайн акаунти.

Всеки компютър, на който е бил изпълнен злонамерен инсталатор на ScreenConnect, трябва да се счита за напълно компрометиран. Необходими са незабавни мерки за реагиране при инциденти, за да се овладее заплахата и да се предотвратят по-нататъшни щети.

Как спам имейлите доставят зловреден софтуер

Кампанията „Електронно извлечение от Администрацията за социално осигуряване е достъпно“ демонстрира често срещана стратегия за разпространение на зловреден софтуер, използвана от киберпрестъпниците. Злонамерените спам имейли обикновено разпространяват зловреден софтуер чрез прикачени файлове или вградени връзки.

Прикачените файлове могат да пристигнат в различни формати, включително документи на Microsoft Office, PDF файлове, ZIP архиви, изпълними файлове и скриптове. Някои инфекции със зловреден софтуер започват веднага след отварянето на файла, докато други изискват от получателите да активират макроси или да извършат допълнителни действия.

По подобен начин, злонамерените връзки често насочват потребителите към уебсайтове, маскирани като защитени портали за документи, услуги за проверка или страници за изтегляне. Тези сайтове са предназначени да убедят посетителите да изтеглят и стартират вредни файлове. В някои случаи изтеглянията започват автоматично, докато в други се използват техники за социално инженерство, за да се убедят жертвите сами да стартират зловредния софтуер.

Разпознаване на предупредителните знаци

Няколко характеристики могат да помогнат за идентифициране на измами от този характер:

• Неочаквани имейли, в които се твърди, че важни правителствени, финансови или правни документи са налични за незабавно изтегляне.

• Съобщения, създаващи неотложност или насърчаващи бързи действия без независима проверка.

• Връзки, водещи към страници за проверка, преди да бъде предоставен достъп до предполагаемия документ.

• Заявки за изтегляне на софтуер, за да се видят документи или да се изпълнят процедури за проверка.

• Необичайни ограничения, като например твърдения, че достъпът до съдържанието е разрешен само от определени операционни системи или устройства.

Разпознаването на тези индикатори може да помогне за предотвратяване на случайно излагане на злонамерен софтуер и други киберзаплахи.

Окончателна оценка

Имейл кампанията „Електронно извлечение от Администрацията за социално осигуряване е налично“ е опасна схема за разпространение на зловреден софтуер, която се представя за Администрацията за социално осигуряване, за да спечели доверието на жертвите. Вместо да предоставя годишно извлечение, измамата пренасочва получателите към фалшив портал за проверка, който изтегля инсталатор на ScreenConnect, заразен с троянски кон.

След като бъде изпълнен, злонамереният софтуер предоставя на атакуващите отдалечен достъп до засегнатата система, което потенциално води до кражба на данни, компрометиране на акаунти, финансови загуби и допълнителни инфекции със зловреден софтуер. Получателите, които попаднат на тези имейли, трябва незабавно да ги изтрият и да избягват кликване върху връзки или изтегляне на файлове, съдържащи се в съобщението.