E-postsvindel fra trygdeetaten er tilgjengelig

Nettkriminelle bruker ofte overbevisende e-postkampanjer for å lure mottakere til å åpne ondsinnede filer, avsløre sensitiv informasjon eller installere skadelig programvare. Derfor er det viktig å være forsiktig når en uventet e-post kommer, spesielt når den hevder å inneholde viktige dokumenter eller hastemeldinger. E-postene «Social Security Administration eStatement Is Available» er et godt eksempel på denne taktikken. Disse meldingene er falske og er ikke tilknyttet noen legitime selskaper, organisasjoner, offentlige etater eller enheter. Deres eneste formål er å infisere ofrenes enheter og gi angripere uautorisert tilgang.

En nærmere titt på svindelen

Analyse av e-postene med teksten «Social Security Administration eStatement Is Available» har avslørt at de er en del av en ondsinnet spamkampanje som er utformet for å utgi seg for å være Social Security Administration (SSA). E-postene informerer mottakerne feilaktig om at deres personnummerutskrift for 2026 er tilgjengelig for nedlasting.

For å få meldingen til å virke autentisk, inkluderer svindlerne detaljer som en referanse-ID, en dato og en tydelig synlig «Last ned e-utskrift»-knapp. Disse elementene er ment å skape en følelse av legitimitet og oppmuntre mottakerne til å stole på e-posten. Imidlertid har den virkelige trygdeetaten ingen involvering i disse meldingene overhodet.

Målet med kampanjen er å lokke mottakerne til å klikke på den angitte knappen, noe som starter neste fase av angrepet.

Den falske verifiseringsportalen

Mottakere som klikker på nedlastingsknappen blir omdirigert til et svindelnettsted som er nøye utformet for å ligne en offisiell SSA-side. Ved ankomst får besøkende meldingen «Identitetsbekreftelse kreves» og blir bedt om å bruke en glidebryter for å starte nedlastingsprosessen for dokumentet.

I stedet for å oppgi en personnummerutskrift, leverer nettstedet automatisk en fil med navnet «ScreenConnect.ClientSetup.msi» til den besøkendes enhet. Nettstedet viser også en melding som hevder at dokumenter kun kan nås via Windows-baserte datamaskiner. Denne begrensningen er bevisst, da den hjelper angriperne med å målrette Windows-brukere og øker sannsynligheten for at det skadelige installasjonsprogrammet vil fungere som det skal.

Verifiseringsprosessen tjener ikke noe legitimt formål og eksisterer utelukkende for å få nedlastingen til å virke troverdig.

Slik fungerer det skadelige installasjonsprogrammet

Den nedlastede filen inneholder en modifisert versjon av ScreenConnect, også kjent som ConnectWise Control. Under normale omstendigheter er ScreenConnect et legitimt eksternt skrivebords- og støtteverktøy som er mye brukt av IT-fagfolk og organisasjoner.

I denne kampanjen har imidlertid programvaren blitt endret og konfigurert til å stille opprette en forbindelse med servere kontrollert av angriperne. Når den er installert og kjørt, gir den trojaneriserte applikasjonen trusselaktørene uovervåket ekstern tilgang til det kompromitterte systemet.

Dette tilgangsnivået lar angripere utføre et bredt spekter av ondsinnede aktiviteter uten offerets viten.

Farene ved ekstern systemkompromittering

Når angripere får ekstern tilgang gjennom skadelig programvare, kan konsekvensene være alvorlige. De kan være i stand til å:

• Overvåk offerets aktiviteter og se alt som vises på skjermen.
• Stjel dokumenter, påloggingsinformasjon, bankinformasjon og andre sensitive data.
• Installer ytterligere skadelig programvare, inkludert ransomware, spionprogrammer eller trusler som stjeler informasjon.
• Manipulere filer og systeminnstillinger.
• Utføre uautoriserte økonomiske transaksjoner eller misbruke kompromitterte nettkontoer.

Enhver datamaskin der det skadelige ScreenConnect-installasjonsprogrammet er kjørt, bør anses som fullstendig kompromittert. Umiddelbare tiltak for å håndtere hendelser er nødvendige for å begrense trusselen og forhindre ytterligere skade.

Hvordan spam-e-poster leverer skadelig programvare

Kampanjen «Social Security Administration eStatement Is Available» demonstrerer en vanlig strategi for distribusjon av skadelig programvare som brukes av nettkriminelle. Ondsinnede spam-e-poster sprer vanligvis skadelig programvare gjennom vedlegg eller innebygde lenker.

Vedlegg kan ankomme i ulike formater, inkludert Microsoft Office-dokumenter, PDF-filer, ZIP-arkiver, kjørbare filer og skript. Noen skadevareinfeksjoner starter så snart filen åpnes, mens andre krever at mottakerne aktiverer makroer eller utfører tilleggshandlinger.

På samme måte leder skadelige lenker ofte brukere til nettsteder kamuflert som sikre dokumentportaler, verifiseringstjenester eller nedlastingssider. Disse nettstedene er utformet for å overtale besøkende til å laste ned og kjøre skadelige filer. I noen tilfeller starter nedlastingene automatisk, mens i andre tilfeller brukes sosial manipulering for å overbevise ofrene om å lansere skadevaren selv.

Å gjenkjenne varseltegnene

Flere kjennetegn kan bidra til å identifisere svindel av denne typen:

• Uventede e-poster som hevder at viktige offentlige, økonomiske eller juridiske dokumenter er tilgjengelige for umiddelbar nedlasting.

• Meldinger som skaper hastverk eller oppfordrer til rask handling uten uavhengig verifisering.

• Lenker som fører til bekreftelsessider før tilgang til det antatte dokumentet gis.

• Forespørsler om å laste ned programvare for å se dokumenter eller fullføre verifiseringsprosedyrer.

• Uvanlige restriksjoner, som påstander om at innhold bare kan nås fra bestemte operativsystemer eller enheter.

Å gjenkjenne disse indikatorene kan bidra til å forhindre utilsiktet eksponering for skadelig programvare og andre cybertrusler.

Sluttvurdering

E-postkampanjen «Social Security Administration eStatement Is Available» er en farlig distribusjonsstrategi for skadelig programvare som utgir seg for å være Social Security Administration for å vinne ofrenes tillit. I stedet for å gi en årlig utskrift, omdirigerer svindelen mottakerne til en falsk verifiseringsportal som laster ned et trojansk ScreenConnect-installasjonsprogram.

Når den skadelige programvaren er kjørt, gir den angripere ekstern tilgang til det berørte systemet, noe som potensielt kan føre til datatyveri, kompromittering av kontoer, økonomiske tap og ytterligere skadevareinfeksjoner. Mottakere som støter på disse e-postene, bør slette dem umiddelbart og unngå å klikke på lenker eller laste ned filer i meldingen.