Вашата поръчка е на път - имейл измама

Неочакваните имейли, свързани с покупки, доставки или активност в акаунта, винаги трябва да се подхождат с повишено внимание. Киберпрестъпниците често маскират злонамерени съобщения като легитимни бизнес комуникации в опит да окажат натиск върху получателите да действат без проверка. Имейл кампанията „Вашата поръчка е на път“ е един такъв пример. Подробен анализ потвърди, че тези имейли са злонамерени спам съобщения и не са свързани с никакви легитимни компании, доставчици на куриерски услуги, търговци на дребно или организации.

Фалшиви известия за доставка, предназначени да създадат спешност

Имейлите „Вашата поръчка е на път“ са изготвени така, че да наподобяват автентични известия за доставка. Те обикновено пристигат с теми, съдържащи номера на поръчките и референтни кодове, за да изглеждат съобщенията достоверни и професионални.

Получателите биват информирани, че техният пакет е бил изпратен и се насърчават да кликнат върху бутона „Преглед на подробности за доставката“, за да получат достъп до информация за проследяване и актуализации за доставката. Формулировката е умишлено създадена, за да предизвика любопитство и неотложност, увеличавайки вероятността получателите да взаимодействат с предоставената връзка, без внимателно да проверят съобщението.

В действителност имейлите не са свързани с никаква истинска покупка или доставка. Единствената им цел е да пренасочат получателите към злонамерен уебсайт, предназначен да зарази системи със зловреден софтуер.

Злонамереният уебсайт зад измамата

Кликването върху вградената връзка пренасочва потребителите към измамна страница, хоствана на increminder.com. Сайтът е оформен така, че да наподобява портал за управление на поръчки или доставка, което допълнително засилва илюзията за легитимност.

Уеб страницата твърди, че информацията за пратката е обработена и посочва, че подробностите за поръчката са налични за изтегляне. Също така се предупреждава, че изтегленият файл може да е необходим за получаване на пакета – психологическа тактика, целяща да окаже натиск върху посетителите да продължат с изтеглянето.

Вместо да предоставя информация за проследяване или документация за поръчката, сайтът предоставя злонамерен файл с име „ScreenConnect.ClientSetup.msi“. Този файл се представя като нормален инсталатор на Windows, но всъщност съдържа троянска версия на ScreenConnect.

Троянизиран софтуер за отдалечен достъп представлява сериозен риск

Самият ScreenConnect е легитимен софтуер за отдалечен работен плот, разработен от ConnectWise и често използван от ИТ специалисти за отдалечена помощ и управление на системи. Киберпрестъпниците обаче често злоупотребяват с такива инструменти, като ги модифицират и разпространяват оръжейни версии, способни да предоставят неоторизиран отдалечен достъп до устройствата на жертвите.

След като злонамереният инсталатор бъде изпълнен, инструментът за отдалечен достъп може да работи тихо във фонов режим, без да привлича внимание. След това атакуващите могат да получат широк контрол над компрометираната система и да извършват широк спектър от злонамерени дейности, включително:

• Кражба на поверителни файлове и съхранени идентификационни данни
• Наблюдение на потребителската активност и събиране на чувствителна информация
• Инсталиране на допълнителен зловреден софтуер, като например ransomware или spyware
• Извършване на измамни транзакции или злоупотреба с онлайн акаунти

Тъй като зловредният софтуер осигурява постоянен отдалечен достъп, засегнатите системи трябва да се считат за напълно компрометирани.

Как кампаниите за малспам доставят зловреден софтуер

Спам кампаниите често разпространяват зловреден софтуер чрез злонамерени прикачени файлове или чрез връзки, водещи към опасни уебсайтове. В много случаи файловете са маскирани като фактури, касови бележки, документи за доставка или извлечения от сметки, за да се насърчат получателите да ги отворят без подозрение.

В тази кампания нападателите разчитат на злонамерен линк, а не на директен прикачен файл. Получателите, които следват линка, биват отвеждани до фалшивия портал за поръчки, където биват манипулирани да изтеглят заразения инсталационен файл. След стартирането си, зловредният софтуер установява възможности за отдалечен достъп, като същевременно остава до голяма степен невидим за жертвата.

Този метод позволява на атакуващите да заобиколят някои филтри за сигурност на имейлите, тъй като вредният полезен товар се хоства външно, а не е прикачен директно към имейла.

Незабавни стъпки за засегнатите потребители

Всеки, който е изтеглил или изпълнил инсталатора на „ScreenConnect.ClientSetup.msi“, трябва да предположи, че е възможно вече да е осъществен неоторизиран достъп до системата. Силно се препоръчва незабавно действие, за да се сведат до минимум потенциалните щети.

Трябва да се извърши пълно сканиране за антивирусна или антивирусна защита, а всички чувствителни пароли, свързани със засегнатото устройство, трябва да бъдат променени от отделна, защитена система. Финансовите сметки, имейл акаунтите и бизнес данните за вход също трябва да се наблюдават за подозрителна активност.

Самият злонамерен имейл трябва да бъде изтрит незабавно, а получателите трябва да избягват кликване върху връзки или изтегляне на файлове, свързани със съобщението.

Защита срещу измами, свързани с доставката

Фишинг кампаниите и кампаниите със зловреден софтуер, свързани с доставки, остават високоефективни, защото експлоатират често срещаните навици за онлайн пазаруване и очакването за актуализации на пратките. Нападателите разчитат на бърза реакция на получателите, преди внимателно да оценят легитимността на съобщението.

Потребителите могат да намалят излагането си на тези заплахи, като проверяват известията за пратки директно чрез официални уебсайтове на търговци на дребно или куриери, избягват изтегляния от непоискани имейли и се отнасят скептично към неочакваните известия за доставка. Дори имейли, които изглеждат изпипани и професионални, могат да крият сериозни заплахи за сигурността под убедителен брандинг и спешен език.