E-mailoplichting met de melding dat het e-statement van de Social Security Administration beschikbaar is.

Cybercriminelen gebruiken vaak overtuigende e-mailcampagnes om ontvangers ertoe te verleiden schadelijke bestanden te openen, gevoelige informatie prijs te geven of malware te installeren. Daarom is het essentieel om voorzichtig te zijn bij onverwachte e-mails, vooral als deze belangrijke documenten of dringende berichten lijken te bevatten. De e-mails met de melding 'Social Security Administration eStatement Is Available' zijn een treffend voorbeeld van deze tactiek. Deze berichten zijn frauduleus en niet afkomstig van legitieme bedrijven, organisaties, overheidsinstanties of andere entiteiten. Hun enige doel is om de apparaten van slachtoffers te infecteren en aanvallers ongeautoriseerde toegang te verschaffen.

Een nadere blik op de oplichting

Analyse van de e-mails met de titel 'Social Security Administration eStatement Is Available' heeft uitgewezen dat ze onderdeel zijn van een kwaadaardige spamcampagne die is opgezet om de Social Security Administration (SSA) na te bootsen. De e-mails informeren ontvangers ten onrechte dat hun Social Security Statement voor 2026 beschikbaar is om te downloaden.

Om het bericht authentiek te laten lijken, voegen de oplichters details toe zoals een referentie-ID, een datum en een prominent weergegeven knop 'eStatement downloaden'. Deze elementen zijn bedoeld om een gevoel van legitimiteit te creëren en ontvangers aan te moedigen de e-mail te vertrouwen. De echte Social Security Administration (Amerikaanse socialezekerheidsdienst) is echter op geen enkele wijze betrokken bij deze berichten.

Het doel van de campagne is om ontvangers ertoe te verleiden op de aangeboden knop te klikken, waarmee de volgende fase van de aanval wordt ingezet.

Het nep-verificatieportaal

Ontvangers die op de downloadknop klikken, worden doorgestuurd naar een frauduleuze website die zorgvuldig is ontworpen om op een officiële SSA-pagina te lijken. Bij aankomst krijgen bezoekers de melding 'Identiteitsverificatie vereist' te zien en worden ze gevraagd een schuifregelaar te gebruiken om het downloadproces van het document te starten.

In plaats van een verklaring van de sociale zekerheid te verstrekken, levert de website automatisch een bestand met de naam 'ScreenConnect.ClientSetup.msi' aan het apparaat van de bezoeker. De site toont ook een melding dat documenten alleen toegankelijk zijn via Windows-computers. Deze beperking is opzettelijk, omdat het de aanvallers helpt Windows-gebruikers te targeten en de kans vergroot dat het kwaadaardige installatieprogramma correct functioneert.

Het verificatieproces dient geen enkel legitiem doel en bestaat uitsluitend om de download betrouwbaar te laten lijken.

Hoe de kwaadaardige installatie werkt

Het gedownloade bestand bevat een aangepaste versie van ScreenConnect, ook bekend als ConnectWise Control. Onder normale omstandigheden is ScreenConnect een legitieme tool voor toegang op afstand tot bureaublad en ondersteuning, die veelvuldig wordt gebruikt door IT-professionals en organisaties.

In deze campagne is de software echter aangepast en geconfigureerd om stilletjes een verbinding tot stand te brengen met servers die door de aanvallers worden beheerd. Eenmaal geïnstalleerd en uitgevoerd, geeft de met een trojan geïnfecteerde applicatie de aanvallers ongehinderd toegang op afstand tot het gecompromitteerde systeem.

Dit toegangsniveau stelt aanvallers in staat om een breed scala aan kwaadwillige activiteiten uit te voeren zonder dat het slachtoffer dit weet.

De gevaren van compromittering van systemen op afstand

Wanneer aanvallers via kwaadaardige software toegang op afstand verkrijgen, kunnen de gevolgen ernstig zijn. Ze kunnen bijvoorbeeld het volgende doen:

• Houd de activiteiten van het slachtoffer in de gaten en bekijk alles wat op het scherm wordt weergegeven.
• Het stelen van documenten, inloggegevens, bankgegevens en andere gevoelige informatie.
• Installeer extra malware, waaronder ransomware, spyware of bedreigingen die informatie stelen.
• Bestanden en systeeminstellingen wijzigen.
• Voer ongeautoriseerde financiële transacties uit of maak misbruik van gehackte online accounts.

Elke computer waarop het schadelijke ScreenConnect-installatieprogramma is uitgevoerd, moet als volledig gecompromitteerd worden beschouwd. Onmiddellijke incidentbestrijdingsmaatregelen zijn noodzakelijk om de dreiging in te dammen en verdere schade te voorkomen.

Hoe spam-e-mails malware verspreiden

De campagne 'Social Security Administration eStatement Is Available' demonstreert een veelgebruikte strategie voor de verspreiding van malware door cybercriminelen. Kwaadaardige spam-e-mails verspreiden malware doorgaans via bijlagen of ingesloten links.

Bijlagen kunnen in verschillende formaten binnenkomen, waaronder Microsoft Office-documenten, PDF-bestanden, ZIP-archieven, uitvoerbare bestanden en scripts. Sommige malware-infecties beginnen zodra het bestand wordt geopend, terwijl andere vereisen dat ontvangers macro's inschakelen of aanvullende acties uitvoeren.

Op vergelijkbare wijze leiden kwaadwillige links gebruikers vaak naar websites die zich voordoen als beveiligde documentportalen, verificatiediensten of downloadpagina's. Deze sites zijn ontworpen om bezoekers over te halen schadelijke bestanden te downloaden en uit te voeren. In sommige gevallen starten downloads automatisch, terwijl in andere gevallen social engineering-technieken worden gebruikt om slachtoffers ertoe te bewegen de malware zelf te starten.

Waarschuwingssignalen herkennen

Aan de hand van verschillende kenmerken kunnen oplichtingspraktijken van deze aard worden herkend:

• Onverwachte e-mails met de bewering dat belangrijke overheids-, financiële of juridische documenten direct te downloaden zijn.

• Berichten die urgentie creëren of aanzetten tot snelle actie zonder onafhankelijke verificatie.

• Links die leiden naar verificatiepagina's voordat toegang tot het vermeende document wordt verleend.

• Verzoeken om software te downloaden om documenten te bekijken of verificatieprocedures te voltooien.

• Ongebruikelijke beperkingen, zoals de bewering dat content alleen toegankelijk is vanaf specifieke besturingssystemen of apparaten.

Het herkennen van deze indicatoren kan helpen om onbedoelde blootstelling aan malware en andere cyberdreigingen te voorkomen.

Eindbeoordeling

De e-mailcampagne 'Social Security Administration eStatement Is Available' is een gevaarlijke malware-verspreidingsmethode die zich voordoet als de Social Security Administration om het vertrouwen van slachtoffers te winnen. In plaats van een jaaroverzicht te verstrekken, leidt de oplichterij ontvangers door naar een nep-verificatieportaal waar een met een trojan besmet ScreenConnect-installatieprogramma wordt gedownload.

Na uitvoering geeft de kwaadaardige software aanvallers toegang op afstand tot het getroffen systeem, wat kan leiden tot datadiefstal, accountcompromittering, financiële verliezen en verdere malware-infecties. Ontvangers van deze e-mails moeten ze onmiddellijk verwijderen en geen links aanklikken of bestanden downloaden die in het bericht staan.