Ваш заказ уже в пути. Мошенническая электронная почта.

К неожиданным электронным письмам, касающимся покупок, доставки или активности в учетной записи, всегда следует относиться с осторожностью. Киберпреступники часто маскируют вредоносные сообщения под законные деловые сообщения, пытаясь заставить получателей совершить действия без проверки. Рассылка «Ваш заказ уже в пути» — один из таких примеров. Детальный анализ подтвердил, что эти письма являются вредоносными спам-сообщениями и не связаны ни с какими законными компаниями, службами доставки, розничными продавцами или организациями.

Поддельные уведомления о доставке, созданные для того, чтобы вызвать чувство срочности.

Электронные письма с сообщением «Ваш заказ в пути» оформлены таким образом, чтобы напоминать настоящие уведомления об отправке. Как правило, в теме письма указываются номера заказов и коды ссылок, чтобы сообщения выглядели убедительно и профессионально.

Получателям сообщается, что их посылка якобы отправлена, и предлагается нажать кнопку «Просмотреть сведения о доставке», чтобы получить доступ к информации для отслеживания и обновлениям о доставке. Формулировка намеренно призвана вызвать любопытство и чувство срочности, увеличивая вероятность того, что получатели перейдут по предоставленной ссылке, не вникая внимательно в текст сообщения.

В действительности, эти электронные письма не имеют отношения к каким-либо реальным покупкам или отправкам. Их единственная цель — перенаправить получателей на вредоносный веб-сайт, предназначенный для заражения систем вредоносным ПО.

Вредоносный веб-сайт, стоящий за мошенничеством.

При нажатии на встроенную ссылку пользователи перенаправляются на мошенническую страницу, размещенную на сайте increminder.com. Сайт оформлен так, будто это портал управления заказами или доставки, что еще больше усиливает иллюзию легитимности.

На веб-странице утверждается, что информация об отправке обработана, и что детали заказа доступны для скачивания. Также предупреждается, что для получения посылки может потребоваться скачанный файл — это психологический приём, призванный подтолкнуть посетителей к скачиванию.

Вместо предоставления информации об отслеживании или документации по заказу, сайт распространяет вредоносный файл под названием «ScreenConnect.ClientSetup.msi». Этот файл представлен как обычный установщик Windows, но на самом деле содержит троянизированную версию ScreenConnect.

Введенное в систему троянское ПО для удаленного доступа представляет серьезную опасность.

ScreenConnect — это легитимное программное обеспечение для удаленного доступа к рабочему столу, разработанное компанией ConnectWise и широко используемое специалистами ИТ-поддержки для удаленной помощи и управления системами. Однако киберпреступники часто злоупотребляют такими инструментами, модифицируя их и распространяя вредоносные версии, способные предоставлять несанкционированный удаленный доступ к устройствам жертв.

После запуска вредоносного установщика инструмент удаленного доступа может незаметно работать в фоновом режиме, не привлекая внимания. Затем злоумышленники могут получить полный контроль над скомпрометированной системой и выполнять широкий спектр вредоносных действий, включая:

• Кража конфиденциальных файлов и сохраненных учетных данных.
• Мониторинг активности пользователей и сбор конфиденциальной информации.
• Установка дополнительного вредоносного ПО, такого как программы-вымогатели или шпионские программы.
• Совершение мошеннических транзакций или злоупотребление онлайн-аккаунтами.

Поскольку вредоносное ПО обеспечивает постоянный удаленный доступ, затронутые системы следует считать полностью скомпрометированными.

Как рассылки вредоносного спама доставляют вредоносное ПО

В спам-кампаниях часто распространяется вредоносное ПО либо через вредоносные вложения, либо через ссылки, ведущие на опасные веб-сайты. Во многих случаях файлы маскируются под счета-фактуры, квитанции, транспортные документы или выписки по счетам, чтобы побудить получателей открыть их, не заподозрив ничего подозрительного.

В этой кампании злоумышленники используют вредоносную ссылку, а не прямое вложение. Получатели, перешедшие по ссылке, попадают на поддельный портал заказа, где их заставляют загрузить зараженный установочный файл. После запуска вредоносное ПО получает возможность удаленного доступа, оставаясь при этом практически невидимым для жертвы.

Этот метод позволяет злоумышленникам обходить некоторые фильтры безопасности электронной почты, поскольку вредоносная программа размещается на внешнем сервере, а не прикрепляется непосредственно к электронному письму.

Незамедлительные действия для пострадавших пользователей

Всем, кто скачал или запустил установщик 'ScreenConnect.ClientSetup.msi', следует исходить из того, что несанкционированный доступ к системе, возможно, уже произошел. Настоятельно рекомендуется незамедлительно принять меры для минимизации потенциального ущерба.

Необходимо незамедлительно провести полное сканирование антивирусом или антишпионским ПО, а также изменить все конфиденциальные пароли, связанные с затронутым устройством, в отдельной, защищенной системе. Следует также отслеживать подозрительную активность в финансовых счетах, учетных записях электронной почты и корпоративных логинах.

Вредоносное электронное письмо следует немедленно удалить, а получателям следует избегать перехода по ссылкам и загрузки любых файлов, связанных с сообщением.

Как защититься от мошенничества, связанного с доставкой.

Фишинговые и вредоносные кампании, связанные с доставкой, остаются весьма эффективными, поскольку они используют распространенные привычки онлайн-покупок и ожидание обновлений посылок. Злоумышленники рассчитывают на быструю реакцию получателей, прежде чем тщательно оценить подлинность сообщения.

Пользователи могут снизить подверженность этим угрозам, проверяя уведомления о доставке непосредственно на официальных сайтах розничных продавцов или курьерских служб, избегая загрузки файлов из нежелательных электронных писем и скептически относясь к неожиданным уведомлениям о доставке. Даже электронные письма, которые выглядят безупречно и профессионально, могут скрывать серьезные угрозы безопасности за убедительным брендингом и срочным языком.