Bestillingen din er på vei – e-postsvindel

Uventede e-poster som involverer kjøp, leveranser eller kontoaktivitet bør alltid behandles med forsiktighet. Nettkriminelle kamuflerer ofte ondsinnede meldinger som legitim forretningskommunikasjon i et forsøk på å presse mottakerne til å handle uten bekreftelse. E-postkampanjen «Bestillingen din er på vei» er et slikt eksempel. Detaljert analyse har bekreftet at disse e-postene er ondsinnede spammeldinger og ikke er knyttet til noen legitime selskaper, fraktleverandører, forhandlere eller organisasjoner.

Falske fraktvarsler designet for å skape hastverk

E-postene «Bestillingen din er på vei» er utformet for å ligne autentiske forsendelsesvarsler. De kommer vanligvis med emnelinjer som inneholder ordrenumre og referansekoder for å gjøre meldingene troverdige og profesjonelle.

Mottakere blir informert om at pakken deres angivelig er sendt, og oppfordres til å klikke på en «Vis leveringsdetaljer»-knapp for å få tilgang til sporingsinformasjon og leveringsoppdateringer. Ordlyden er bevisst utformet for å vekke nysgjerrighet og at det haster, noe som øker sannsynligheten for at mottakerne vil samhandle med den oppgitte lenken uten å undersøke meldingen nøye.

I realiteten er ikke e-postene relatert til noe ekte kjøp eller forsendelse. Deres eneste formål er å omdirigere mottakerne til et ondsinnet nettsted som er laget for å infisere systemer med skadelig programvare.

Det ondsinnede nettstedet bak svindelen

Hvis brukere klikker på den innebygde lenken, omdirigeres de til en svindelside på increminder.com. Nettstedet er utformet slik at det ligner en portal for ordrebehandling eller levering, noe som ytterligere forsterker illusjonen av legitimitet.

Nettsiden hevder at forsendelsesinformasjonen er behandlet og oppgir at bestillingsdetaljer er tilgjengelige for nedlasting. Den advarer også om at den nedlastede filen kan være nødvendig for å motta pakken, en psykologisk taktikk som har som mål å presse besøkende til å fortsette med nedlastingen.

I stedet for å oppgi sporingsinformasjon eller ordredokumentasjon, leverer nettstedet en skadelig fil med navnet «ScreenConnect.ClientSetup.msi». Denne filen presenteres som et vanlig Windows-installasjonsprogram, men inneholder faktisk en trojanerisert versjon av ScreenConnect.

Trojanisert fjerntilgangsprogramvare utgjør alvorlige risikoer

ScreenConnect er i seg selv legitim programvare for eksternt skrivebord utviklet av ConnectWise og ofte brukt av IT-supportmedarbeidere for fjernhjelp og systemadministrasjon. Nettkriminelle misbruker imidlertid ofte slike verktøy ved å modifisere dem og distribuere våpenversjoner som kan gi uautorisert ekstern tilgang til ofrenes enheter.

Når det skadelige installasjonsprogrammet er kjørt, kan verktøyet for fjerntilgang operere stille i bakgrunnen uten å tiltrekke seg oppmerksomhet. Angripere kan da få omfattende kontroll over det kompromitterte systemet og utføre en rekke ondsinnede aktiviteter, inkludert:

• Stjel konfidensielle filer og lagret legitimasjon
• Overvåking av brukeraktivitet og innsamling av sensitiv informasjon
• Installere ytterligere skadelig programvare som ransomware eller spionprogrammer
• Å gjennomføre uredelige transaksjoner eller misbruke nettkontoer

Fordi skadevaren gir vedvarende ekstern tilgang, bør berørte systemer anses som fullstendig kompromittert.

Hvordan Malspam-kampanjer leverer skadelig programvare

Spamkampanjer distribuerer ofte skadelig programvare enten gjennom ondsinnede vedlegg eller gjennom lenker som fører til skadelige nettsteder. I mange tilfeller er filene kamuflert som fakturaer, kvitteringer, fraktdokumenter eller kontoutskrifter for å oppfordre mottakerne til å åpne dem uten mistanke.

I denne kampanjen er angriperne avhengige av en ondsinnet lenke i stedet for et direkte vedlegg. Mottakere som følger lenken blir ledet til den falske bestillingsportalen, hvor de blir manipulert til å laste ned den infiserte installasjonsfilen. Når den er lansert, etablerer skadevaren ekstern tilgang, samtidig som den forblir stort sett usynlig for offeret.

Denne metoden lar angripere omgå noen e-postsikkerhetsfiltre, siden den skadelige nyttelasten lagres eksternt i stedet for å være knyttet direkte til e-posten.

Umiddelbare tiltak for berørte brukere

Alle som lastet ned eller kjørte installasjonsprogrammet «ScreenConnect.ClientSetup.msi», bør anta at uautorisert tilgang til systemet allerede kan ha skjedd. Umiddelbare tiltak anbefales på det sterkeste for å minimere potensiell skade.

En fullstendig antivirus- eller anti-malware-skanning bør utføres uten forsinkelse, og alle sensitive passord knyttet til den berørte enheten bør endres fra et separat, sikkert system. Finansielle kontoer, e-postkontoer og bedriftspålogginger bør også overvåkes for mistenkelig aktivitet.

Selve den ondsinnede e-posten bør slettes umiddelbart, og mottakerne bør unngå å klikke på lenker eller laste ned filer knyttet til meldingen.

Beskyttelse mot leveringssvindel

Leveringsbaserte phishing- og skadevarekampanjer er fortsatt svært effektive fordi de utnytter vanlige netthandelsvaner og forventningen om pakkeoppdateringer. Angripere er avhengige av at mottakerne reagerer raskt før de nøye vurderer meldingens legitimitet.

Brukere kan redusere eksponeringen for disse truslene ved å bekrefte forsendelsesvarsler direkte gjennom offisielle forhandler- eller budtjenestenettsteder, unngå nedlastinger fra uønskede e-poster og behandle uventede leveringsvarsler med skepsis. Selv e-poster som virker polerte og profesjonelle, kan skjule alvorlige sikkerhetstrusler under overbevisende merkevarebygging og viktig språk.