E-mailoplichting met de melding "Uw bestelling is onderweg"

Onverwachte e-mails over aankopen, leveringen of accountactiviteiten moeten altijd met de nodige voorzichtigheid worden benaderd. Cybercriminelen vermommen kwaadaardige berichten vaak als legitieme zakelijke communicatie om ontvangers onder druk te zetten tot actie zonder verificatie. De e-mailcampagne 'Uw bestelling is onderweg' is daar een voorbeeld van. Uit een gedetailleerde analyse is gebleken dat deze e-mails kwaadaardige spamberichten zijn en niet afkomstig zijn van legitieme bedrijven, verzendbedrijven, retailers of organisaties.

Valse verzendmeldingen ontworpen om urgentie te creëren.

De e-mails met de melding 'Uw bestelling is onderweg' zijn zo opgesteld dat ze lijken op authentieke verzendberichten. Ze hebben doorgaans onderwerpregels met ordernummers en referentiecodes om de berichten geloofwaardig en professioneel te laten overkomen.

Ontvangers worden geïnformeerd dat hun pakket zogenaamd is verzonden en worden aangemoedigd om op een knop 'Verzendgegevens bekijken' te klikken om toegang te krijgen tot trackinginformatie en updates over de levering. De formulering is opzettelijk zo ontworpen dat het nieuwsgierigheid en urgentie opwekt, waardoor de kans groter is dat ontvangers op de link klikken zonder het bericht zorgvuldig te lezen.

In werkelijkheid hebben de e-mails geen betrekking op een echte aankoop of verzending. Hun enige doel is om ontvangers door te sturen naar een kwaadaardige website die is ontworpen om systemen te infecteren met malware.

De kwaadaardige website achter de oplichting

Door op de ingesloten link te klikken, worden gebruikers doorgestuurd naar een frauduleuze pagina op increminder.com. De site is vormgegeven als een orderbeheer- of verzendportaal, wat de schijn van legitimiteit verder versterkt.

De webpagina beweert dat de verzendgegevens zijn verwerkt en dat de bestelgegevens kunnen worden gedownload. Er wordt ook gewaarschuwd dat het gedownloade bestand mogelijk nodig is om het pakket te ontvangen, een psychologische truc om bezoekers onder druk te zetten de download te voltooien.

In plaats van trackinginformatie of orderdocumentatie te verstrekken, levert de site een kwaadaardig bestand met de naam 'ScreenConnect.ClientSetup.msi'. Dit bestand wordt gepresenteerd als een normaal Windows-installatieprogramma, maar bevat in werkelijkheid een met een trojan besmette versie van ScreenConnect.

Geïnfecteerde software voor toegang op afstand vormt een ernstig risico.

ScreenConnect is legitieme software voor toegang op afstand, ontwikkeld door ConnectWise en veelvuldig gebruikt door IT-professionals voor hulp op afstand en systeembeheer. Cybercriminelen misbruiken dergelijke tools echter vaak door ze aan te passen en gemanipuleerde versies te verspreiden die ongeautoriseerde toegang op afstand tot de apparaten van slachtoffers mogelijk maken.

Zodra het kwaadaardige installatieprogramma is uitgevoerd, kan de tool voor toegang op afstand ongemerkt op de achtergrond draaien. Aanvallers kunnen vervolgens uitgebreide controle over het gecompromitteerde systeem verkrijgen en een breed scala aan kwaadaardige activiteiten uitvoeren, waaronder:

• Het stelen van vertrouwelijke bestanden en opgeslagen inloggegevens.
• Het monitoren van gebruikersactiviteit en het verzamelen van gevoelige informatie.
• Het installeren van extra malware, zoals ransomware of spyware.
• Het uitvoeren van frauduleuze transacties of het misbruiken van online accounts.

Omdat de malware permanente toegang op afstand mogelijk maakt, moeten getroffen systemen als volledig gecompromitteerd worden beschouwd.

Hoe malspamcampagnes malware verspreiden

Spamcampagnes verspreiden vaak malware via schadelijke bijlagen of links naar gevaarlijke websites. In veel gevallen zijn de bestanden vermomd als facturen, bonnen, verzenddocumenten of rekeningoverzichten om ontvangers ertoe aan te zetten ze zonder argwaan te openen.

Bij deze campagne maken de aanvallers gebruik van een kwaadaardige link in plaats van een directe bijlage. Ontvangers die op de link klikken, worden naar een nep-bestelportaal geleid, waar ze worden gemanipuleerd om het geïnfecteerde installatiebestand te downloaden. Eenmaal opgestart, verkrijgt de malware toegang op afstand, terwijl deze grotendeels onzichtbaar blijft voor het slachtoffer.

Deze methode stelt aanvallers in staat om bepaalde e-mailbeveiligingsfilters te omzeilen, omdat de schadelijke code extern wordt gehost in plaats van direct aan de e-mail te zijn toegevoegd.

Directe maatregelen voor getroffen gebruikers

Iedereen die het installatieprogramma 'ScreenConnect.ClientSetup.msi' heeft gedownload of uitgevoerd, moet ervan uitgaan dat er mogelijk al ongeautoriseerde toegang tot het systeem heeft plaatsgevonden. Onmiddellijke actie wordt ten zeerste aanbevolen om mogelijke schade te beperken.

Voer onmiddellijk een volledige antivirus- of antimalwarescan uit en wijzig alle gevoelige wachtwoorden die aan het betreffende apparaat zijn gekoppeld via een apart, beveiligd systeem. Controleer ook financiële rekeningen, e-mailaccounts en zakelijke inloggegevens op verdachte activiteiten.

De schadelijke e-mail zelf moet onmiddellijk worden verwijderd en ontvangers moeten voorkomen dat ze op links klikken of bestanden downloaden die bij het bericht horen.

Bescherm uzelf tegen oplichting met betrekking tot bezorging.

Phishing- en malwarecampagnes met bezorgthema's blijven zeer effectief omdat ze inspelen op veelvoorkomende online winkelgewoonten en de verwachting van pakketupdates. Aanvallers rekenen erop dat ontvangers snel reageren voordat ze de legitimiteit van het bericht zorgvuldig beoordelen.

Gebruikers kunnen hun blootstelling aan deze bedreigingen verminderen door verzendmeldingen rechtstreeks te controleren via de officiële websites van de winkeliers of koeriersdiensten, door geen ongevraagde e-mails te downloaden en door sceptisch te staan tegenover onverwachte leveringsmeldingen. Zelfs e-mails die er verzorgd en professioneel uitzien, kunnen ernstige beveiligingsrisico's verbergen achter een overtuigende merkuitstraling en een dringende toon.