Доступна ли электронная выписка из системы социального обеспечения? Мошенничество по электронной почте.

Киберпреступники часто используют убедительные электронные письма, чтобы обманом заставить получателей открыть вредоносные файлы, раскрыть конфиденциальную информацию или установить вредоносное ПО. Поэтому крайне важно проявлять осторожность при получении неожиданных писем, особенно если в них утверждается, что они содержат важные документы или срочные уведомления. Письма с сообщением «Электронная выписка из Управления социального обеспечения доступна» — яркий пример такой тактики. Эти сообщения являются мошенническими и не связаны ни с какими законными компаниями, организациями, государственными учреждениями или структурами. Их единственная цель — заразить устройства жертв и предоставить злоумышленникам несанкционированный доступ.

Более подробный анализ мошеннической схемы

Анализ электронных писем с сообщением «Электронная выписка из Управления социального обеспечения доступна» показал, что они являются частью вредоносной спам-кампании, целью которой является выдача себя за Управление социального обеспечения (SSA). В письмах получателям ложно сообщается, что их выписка из Управления социального обеспечения за 2026 год доступна для скачивания.

Чтобы сообщение выглядело правдоподобно, мошенники добавляют такие детали, как идентификационный номер, дату и заметно отображаемую кнопку «Скачать электронную выписку». Эти элементы призваны создать ощущение легитимности и побудить получателей доверять электронному письму. Однако настоящая Администрация социального обеспечения не имеет никакого отношения к этим сообщениям.

Цель кампании — побудить получателей нажать на предоставленную кнопку, что запускает следующий этап атаки.

Портал поддельной верификации

Получатели, нажав кнопку загрузки, перенаправляются на мошеннический веб-сайт, тщательно разработанный таким образом, чтобы имитировать официальную страницу Управления социального обеспечения (SSA). По прибытии посетителям отображается сообщение «Требуется подтверждение личности», и им предлагается взаимодействовать с ползунком, чтобы начать процесс загрузки документа.

Вместо выписки из системы социального страхования веб-сайт автоматически отправляет на устройство посетителя файл с именем «ScreenConnect.ClientSetup.msi». На сайте также отображается уведомление о том, что доступ к документам возможен только с компьютеров под управлением Windows. Это ограничение сделано намеренно, поскольку оно помогает злоумышленникам атаковать пользователей Windows и повышает вероятность корректной работы вредоносного установщика.

Процесс проверки не преследует никаких законных целей и существует исключительно для того, чтобы загрузка выглядела заслуживающей доверия.

Как работает вредоносный установщик

Загруженный файл содержит модифицированную версию ScreenConnect, также известную как ConnectWise Control. В обычных условиях ScreenConnect является легитимным инструментом удаленного доступа и поддержки, широко используемым ИТ-специалистами и организациями.

Однако в этой кампании программное обеспечение было изменено и настроено таким образом, чтобы незаметно устанавливать соединение с серверами, контролируемыми злоумышленниками. После установки и запуска троянизированное приложение предоставляет злоумышленникам удаленный доступ к скомпрометированной системе без их участия.

Такой уровень доступа позволяет злоумышленникам совершать широкий спектр вредоносных действий без ведома жертвы.

Опасности удаленного взлома системы

Когда злоумышленники получают удалённый доступ через вредоносное программное обеспечение, последствия могут быть серьёзными. Они могут:

• Отслеживайте действия жертвы и просматривайте все, что отображается на экране.
• Похищение документов, учетных данных для входа в систему, банковской информации и других конфиденциальных данных.
• Установите дополнительное вредоносное ПО, включая программы-вымогатели, шпионские программы или программы, предназначенные для кражи информации.
• Управляйте файлами и системными настройками.
• Совершать несанкционированные финансовые транзакции или злоупотреблять скомпрометированными онлайн-аккаунтами.

Любой компьютер, на котором был запущен вредоносный установщик ScreenConnect, следует считать полностью скомпрометированным. Необходимы незамедлительные меры реагирования для локализации угрозы и предотвращения дальнейшего ущерба.

Как спам-письма распространяют вредоносное ПО

Кампания «Электронная выписка из Управления социального обеспечения доступна» демонстрирует распространенную стратегию распространения вредоносного ПО, используемую киберпреступниками. Вредоносные спам-письма обычно распространяют вредоносное ПО через вложения или встроенные ссылки.

Вложения могут поступать в различных форматах, включая документы Microsoft Office, PDF-файлы, ZIP-архивы, исполняемые файлы и скрипты. Некоторые вредоносные программы начинают действовать сразу после открытия файла, в то время как другие требуют от получателей включения макросов или выполнения дополнительных действий.

Аналогичным образом, вредоносные ссылки часто перенаправляют пользователей на веб-сайты, замаскированные под защищенные порталы документов, сервисы проверки или страницы загрузки. Эти сайты созданы для того, чтобы убедить посетителей загрузить и запустить вредоносные файлы. В некоторых случаях загрузка начинается автоматически, в других же используются методы социальной инженерии, чтобы убедить жертв запустить вредоносное ПО самостоятельно.

Распознавание предупреждающих знаков

Несколько характерных признаков могут помочь выявить мошеннические схемы подобного рода:

• Неожиданные электронные письма с утверждением о том, что важные правительственные, финансовые или юридические документы доступны для немедленной загрузки.

• Сообщения, создающие ощущение срочности или призывающие к быстрым действиям без независимой проверки.

• Перед предоставлением доступа к предполагаемому документу будут предоставлены ссылки, ведущие на страницы проверки.

• Запросы на загрузку программного обеспечения для просмотра документов или завершения процедур проверки.

• Необычные ограничения, такие как утверждения о том, что доступ к контенту возможен только с определенных операционных систем или устройств.

Распознавание этих признаков может помочь предотвратить случайное заражение вредоносным ПО и другими киберугрозами.

Итоговая оценка

Акция по рассылке электронных писем «Электронная выписка из Управления социального обеспечения доступна» — это опасная схема распространения вредоносного ПО, которая выдает себя за Управление социального обеспечения, чтобы завоевать доверие жертв. Вместо предоставления годовой выписки мошенники перенаправляют получателей на поддельный портал проверки, где загружается зараженный троянами установщик ScreenConnect.

После запуска вредоносное ПО предоставляет злоумышленникам удаленный доступ к зараженной системе, что потенциально может привести к краже данных, компрометации учетных записей, финансовым потерям и заражению дополнительными вредоносными программами. Получателям таких писем следует немедленно удалить их и избегать перехода по ссылкам или загрузки файлов, содержащихся в сообщении.