Seu pedido está a caminho - Golpe por e-mail

E-mails inesperados relacionados a compras, entregas ou atividades da conta devem sempre ser encarados com cautela. Criminosos cibernéticos frequentemente disfarçam mensagens maliciosas como comunicações comerciais legítimas, numa tentativa de pressionar os destinatários a agir sem verificar a veracidade das informações. A campanha de e-mail "Seu pedido está a caminho" é um exemplo disso. Análises detalhadas confirmaram que esses e-mails são mensagens de spam maliciosas e não estão vinculados a nenhuma empresa, transportadora, varejista ou organização legítima.

Notificações de envio falsas criadas para gerar urgência.

Os e-mails "Seu pedido está a caminho" são elaborados para se assemelharem a notificações de envio autênticas. Normalmente, chegam com linhas de assunto contendo números de pedido e códigos de referência para que as mensagens pareçam confiáveis e profissionais.

Os destinatários são informados de que seu pacote supostamente foi enviado e são incentivados a clicar em um botão "Ver detalhes de envio" para acessar informações de rastreamento e atualizações de entrega. A redação é intencionalmente elaborada para despertar curiosidade e urgência, aumentando a probabilidade de que os destinatários interajam com o link fornecido sem analisar cuidadosamente a mensagem.

Na realidade, os e-mails não se referem a nenhuma compra ou entrega legítima. Seu único propósito é redirecionar os destinatários para um site malicioso projetado para infectar sistemas com malware.

O site malicioso por trás do golpe

Clicar no link incorporado redireciona os usuários para uma página fraudulenta hospedada em increminder.com. O site é estilizado para se assemelhar a um portal de gerenciamento de pedidos ou de envio, reforçando ainda mais a ilusão de legitimidade.

A página afirma que as informações de envio foram processadas e que os detalhes do pedido estão disponíveis para download. Também alerta que o arquivo baixado pode ser necessário para receber o pacote, uma tática psicológica destinada a pressionar os visitantes a prosseguirem com o download.

Em vez de fornecer informações de rastreamento ou documentação do pedido, o site entrega um arquivo malicioso chamado 'ScreenConnect.ClientSetup.msi'. Este arquivo é apresentado como um instalador normal do Windows, mas na verdade contém uma versão trojanizada do ScreenConnect.

Software de acesso remoto infectado por Trojan representa sérios riscos.

O ScreenConnect em si é um software legítimo de acesso remoto desenvolvido pela ConnectWise e comumente usado por profissionais de suporte de TI para assistência remota e gerenciamento de sistemas. No entanto, cibercriminosos frequentemente abusam dessas ferramentas, modificando-as e distribuindo versões maliciosas capazes de conceder acesso remoto não autorizado aos dispositivos das vítimas.

Uma vez executado o instalador malicioso, a ferramenta de acesso remoto pode operar silenciosamente em segundo plano sem chamar a atenção. Os invasores podem então obter amplo controle sobre o sistema comprometido e realizar uma vasta gama de atividades maliciosas, incluindo:

• Roubo de arquivos confidenciais e credenciais armazenadas
• Monitorar a atividade do usuário e coletar informações confidenciais.
• Instalar malware adicional, como ransomware ou spyware.
• Realizar transações fraudulentas ou abusar de contas online.

Como o malware proporciona acesso remoto persistente, os sistemas afetados devem ser considerados totalmente comprometidos.

Como as campanhas de spam malicioso distribuem malware

Campanhas de spam frequentemente distribuem malware por meio de anexos maliciosos ou links que levam a sites prejudiciais. Em muitos casos, os arquivos são disfarçados de faturas, recibos, documentos de envio ou extratos bancários para induzir os destinatários a abri-los sem suspeitar de nada.

Nessa campanha, os atacantes utilizam um link malicioso em vez de um anexo direto. Os destinatários que clicam no link são direcionados para um portal de pedidos falso, onde são induzidos a baixar o arquivo instalador infectado. Uma vez executado, o malware estabelece acesso remoto, permanecendo praticamente invisível para a vítima.

Esse método permite que os atacantes contornem alguns filtros de segurança de e-mail, já que a carga maliciosa é hospedada externamente, em vez de estar anexada diretamente ao e-mail.

Medidas imediatas para usuários afetados

Qualquer pessoa que tenha baixado ou executado o instalador 'ScreenConnect.ClientSetup.msi' deve presumir que já pode ter ocorrido acesso não autorizado ao sistema. Recomenda-se fortemente ação imediata para minimizar possíveis danos.

Uma verificação completa de antivírus ou antimalware deve ser realizada sem demora, e todas as senhas sensíveis associadas ao dispositivo afetado devem ser alteradas em um sistema separado e seguro. Contas bancárias, contas de e-mail e logins corporativos também devem ser monitorados em busca de atividades suspeitas.

O e-mail malicioso deve ser apagado imediatamente e os destinatários devem evitar clicar em quaisquer links ou baixar quaisquer arquivos associados à mensagem.

Como se proteger contra golpes relacionados a entregas

Campanhas de phishing e malware com temática de entrega continuam sendo altamente eficazes porque exploram hábitos comuns de compras online e a expectativa de atualizações sobre os pacotes. Os atacantes contam com a rápida reação dos destinatários antes de avaliarem cuidadosamente a legitimidade da mensagem.

Os usuários podem reduzir a exposição a essas ameaças verificando as notificações de envio diretamente nos sites oficiais do varejista ou da transportadora, evitando downloads de e-mails não solicitados e tratando alertas de entrega inesperados com ceticismo. Mesmo e-mails que parecem impecáveis e profissionais podem esconder sérias ameaças à segurança por trás de uma marca convincente e linguagem urgente.