Truffa via email: "Il tuo ordine è in arrivo"

Le email inaspettate relative ad acquisti, consegne o attività sull'account devono sempre essere trattate con cautela. I criminali informatici spesso mascherano i messaggi dannosi come comunicazioni aziendali legittime nel tentativo di spingere i destinatari ad agire senza verifica. La campagna email "Il tuo ordine è in arrivo" ne è un esempio. Un'analisi approfondita ha confermato che queste email sono messaggi di spam dannosi e non sono collegate ad alcuna azienda, corriere, rivenditore o organizzazione legittima.

Notifiche di spedizione false progettate per creare urgenza

Le email "Il tuo ordine è in arrivo" sono create per assomigliare a vere e proprie notifiche di spedizione. In genere, l'oggetto di queste email contiene il numero d'ordine e il codice di riferimento, per conferire ai messaggi un aspetto credibile e professionale.

I destinatari vengono informati che il loro pacco è stato presumibilmente spedito e sono invitati a cliccare sul pulsante "Visualizza dettagli spedizione" per accedere alle informazioni di tracciamento e agli aggiornamenti sulla consegna. La formulazione è studiata appositamente per suscitare curiosità e un senso di urgenza, aumentando la probabilità che i destinatari interagiscano con il link fornito senza esaminare attentamente il messaggio.

In realtà, le email non sono collegate ad alcun acquisto o spedizione autentica. Il loro unico scopo è reindirizzare i destinatari a un sito web dannoso progettato per infettare i sistemi con malware.

Il sito web malevolo alla base della truffa

Cliccando sul link incorporato, gli utenti vengono reindirizzati a una pagina fraudolenta ospitata su increminder.com. Il sito è strutturato in modo da assomigliare a un portale di gestione degli ordini o di spedizione, rafforzando ulteriormente l'illusione di legittimità.

La pagina web afferma che le informazioni sulla spedizione sono state elaborate e che i dettagli dell'ordine sono disponibili per il download. Avverte inoltre che il file scaricato potrebbe essere necessario per ricevere il pacco, una tattica psicologica volta a spingere i visitatori a procedere con il download.

Anziché fornire informazioni di tracciamento o documentazione d'ordine, il sito distribuisce un file dannoso denominato "ScreenConnect.ClientSetup.msi". Questo file si presenta come un normale programma di installazione di Windows, ma in realtà contiene una versione infetta di ScreenConnect.

I software di accesso remoto infettati da trojan comportano seri rischi.

ScreenConnect è un software di desktop remoto legittimo, sviluppato da ConnectWise e comunemente utilizzato dai professionisti dell'assistenza IT per il supporto remoto e la gestione dei sistemi. Tuttavia, i criminali informatici spesso abusano di questi strumenti modificandoli e distribuendo versioni compromesse in grado di consentire l'accesso remoto non autorizzato ai dispositivi delle vittime.

Una volta eseguito il programma di installazione dannoso, lo strumento di accesso remoto può operare silenziosamente in background senza destare sospetti. Gli aggressori possono quindi ottenere un controllo esteso sul sistema compromesso ed eseguire una vasta gamma di attività dannose, tra cui:

• Furto di file riservati e credenziali memorizzate
• Monitoraggio dell'attività degli utenti e raccolta di informazioni sensibili
• Installazione di malware aggiuntivo come ransomware o spyware
• Effettuare transazioni fraudolente o abusare degli account online

Poiché il malware fornisce un accesso remoto persistente, i sistemi infetti devono essere considerati completamente compromessi.

Come le campagne di spam diffondono malware

Le campagne di spam diffondono frequentemente malware tramite allegati dannosi o link che conducono a siti web pericolosi. In molti casi, i file vengono camuffati da fatture, ricevute, documenti di spedizione o estratti conto per indurre i destinatari ad aprirli senza insospettirsi.

In questa campagna, gli aggressori si affidano a un link malevolo anziché a un allegato diretto. I destinatari che cliccano sul link vengono indirizzati a un falso portale d'ordine, dove vengono indotti a scaricare il file di installazione infetto. Una volta avviato, il malware stabilisce capacità di accesso remoto rimanendo in gran parte invisibile alla vittima.

Questo metodo consente agli aggressori di aggirare alcuni filtri di sicurezza della posta elettronica, poiché il payload dannoso è ospitato esternamente anziché essere allegato direttamente all'e-mail.

Misure immediate per gli utenti interessati

Chiunque abbia scaricato o eseguito il programma di installazione 'ScreenConnect.ClientSetup.msi' deve presumere che si sia già verificato un accesso non autorizzato al sistema. Si raccomanda vivamente di intervenire immediatamente per ridurre al minimo i potenziali danni.

È opportuno eseguire immediatamente una scansione antivirus o antimalware completa e modificare tutte le password sensibili associate al dispositivo interessato utilizzando un sistema separato e sicuro. È inoltre consigliabile monitorare i conti finanziari, gli account di posta elettronica e gli accessi aziendali per individuare eventuali attività sospette.

L'e-mail dannosa deve essere eliminata immediatamente e i destinatari devono evitare di cliccare su qualsiasi link o scaricare qualsiasi file associato al messaggio.

Come proteggersi dalle truffe legate alle consegne

Le campagne di phishing e malware a tema consegna continuano a essere molto efficaci perché sfruttano le comuni abitudini di acquisto online e l'aspettativa di ricevere aggiornamenti sullo stato dei pacchi. Gli aggressori contano sulla rapidità di reazione dei destinatari, che spesso non valutano attentamente la legittimità del messaggio.

Gli utenti possono ridurre l'esposizione a queste minacce verificando le notifiche di spedizione direttamente sui siti web ufficiali dei rivenditori o dei corrieri, evitando di scaricare file da e-mail non richieste e trattando con scetticismo gli avvisi di consegna inattesi. Anche le e-mail che appaiono curate e professionali possono nascondere gravi minacce alla sicurezza dietro un marchio accattivante e un linguaggio urgente.