Din beställning är på väg E-postbedrägeri
Oväntade e-postmeddelanden som rör köp, leveranser eller kontoaktivitet bör alltid hanteras med försiktighet. Cyberbrottslingar döljer ofta skadliga meddelanden som legitim affärskommunikation i ett försök att pressa mottagare att agera utan verifiering. E-postkampanjen "Din beställning är på väg" är ett sådant exempel. Detaljerad analys har bekräftat att dessa e-postmeddelanden är skadliga skräppostmeddelanden och inte är kopplade till några legitima företag, fraktleverantörer, återförsäljare eller organisationer.
Innehållsförteckning
Falska leveransmeddelanden utformade för att skapa brådska
E-postmeddelandena "Din beställning är på väg" är utformade för att likna autentiska leveransmeddelanden. De kommer vanligtvis med ämnesrader som innehåller ordernummer och referenskoder för att meddelandena ska framstå som trovärdiga och professionella.
Mottagarna informeras om att deras paket påstås ha skickats och uppmanas att klicka på knappen "Visa leveransinformation" för att få tillgång till spårningsinformation och leveransuppdateringar. Formuleringen är avsiktligt utformad för att väcka nyfikenhet och brådska, vilket ökar sannolikheten för att mottagarna interagerar med den angivna länken utan att noggrant granska meddelandet.
I verkligheten relaterar inte e-postmeddelandena till något genuint köp eller leverans. Deras enda syfte är att omdirigera mottagarna till en skadlig webbplats som är utformad för att infektera system med skadlig kod.
Den skadliga webbplatsen bakom bedrägeriet
Om man klickar på den inbäddade länken omdirigeras användare till en bedräglig sida på increminder.com. Webbplatsen är utformad för att likna en orderhanterings- eller leveransportal, vilket ytterligare förstärker illusionen av legitimitet.
Webbsidan hävdar att leveransinformationen har behandlats och att orderuppgifterna finns tillgängliga för nedladdning. Den varnar också för att den nedladdade filen kan krävas för att ta emot paketet, en psykologisk taktik som syftar till att pressa besökare att fortsätta med nedladdningen.
Istället för att tillhandahålla spårningsinformation eller orderdokumentation levererar webbplatsen en skadlig fil med namnet "ScreenConnect.ClientSetup.msi". Denna fil presenteras som ett vanligt Windows-installationsprogram men innehåller i själva verket en trojansk version av ScreenConnect.
Trojaniserad fjärråtkomstprogramvara utgör allvarliga risker
ScreenConnect är i sig legitim programvara för fjärrskrivbord utvecklad av ConnectWise och används ofta av IT-supportpersonal för fjärrhjälp och systemhantering. Cyberbrottslingar missbrukar dock ofta sådana verktyg genom att modifiera dem och distribuera vapenversioner som kan ge obehörig fjärråtkomst till offrens enheter.
När det skadliga installationsprogrammet har körts kan fjärråtkomstverktyget köras tyst i bakgrunden utan att dra till sig uppmärksamhet. Angripare kan då få omfattande kontroll över det komprometterade systemet och utföra en mängd olika skadliga aktiviteter, inklusive:
- Stjäla konfidentiella filer och lagrade inloggningsuppgifter
- Övervakning av användaraktivitet och insamling av känslig information
- Installera ytterligare skadlig kod som ransomware eller spionprogram
- Genomföra bedrägliga transaktioner eller missbruka onlinekonton
Eftersom skadlig programvara ger ihållande fjärråtkomst bör berörda system betraktas som helt komprometterade.
Hur Malspam-kampanjer levererar skadlig kod
Spamkampanjer sprider ofta skadlig kod antingen via skadliga bilagor eller via länkar som leder till skadliga webbplatser. I många fall är filerna förklädda till fakturor, kvitton, fraktdokument eller kontoutdrag för att uppmuntra mottagarna att öppna dem utan misstanke.
I den här kampanjen förlitar sig angriparna på en skadlig länk snarare än en direkt bilaga. Mottagare som följer länken leds till den falska beställningsportalen, där de manipuleras att ladda ner den infekterade installationsfilen. När den har startats etablerar den skadliga programvaran fjärråtkomstfunktioner samtidigt som den förblir i stort sett osynlig för offret.
Den här metoden gör det möjligt för angripare att kringgå vissa e-postsäkerhetsfilter, eftersom den skadliga nyttolasten lagras externt snarare än bifogas direkt till e-postmeddelandet.
Omedelbara åtgärder för berörda användare
Alla som laddat ner eller kört installationsprogrammet 'ScreenConnect.ClientSetup.msi' bör anta att obehörig åtkomst till systemet redan kan ha inträffat. Omedelbara åtgärder rekommenderas starkt för att minimera potentiell skada.
En fullständig antivirus- eller anti-malware-skanning bör utföras utan dröjsmål, och alla känsliga lösenord som är kopplade till den berörda enheten bör ändras från ett separat, säkert system. Finansiella konton, e-postkonton och företagsinloggningar bör också övervakas för misstänkt aktivitet.
Själva det skadliga e-postmeddelandet bör raderas omedelbart, och mottagarna bör undvika att klicka på några länkar eller ladda ner några filer som är kopplade till meddelandet.
Skydda dig mot leveransbedrägerier
Leveranstematiska nätfiske- och skadlighetskampanjer är fortfarande mycket effektiva eftersom de utnyttjar vanliga shoppingvanor online och förväntningarna på paketuppdateringar. Angripare förlitar sig på att mottagarna reagerar snabbt innan de noggrant utvärderar meddelandets legitimitet.
Användare kan minska exponeringen för dessa hot genom att verifiera leveransmeddelanden direkt via officiella återförsäljares eller budföretagswebbplatser, undvika nedladdningar från oönskade e-postmeddelanden och behandla oväntade leveransmeddelanden med skepsis. Även e-postmeddelanden som verkar polerade och professionella kan dölja allvarliga säkerhetshot under övertygande varumärkesbyggande och brådskande språk.
System Messages
The following system messages may be associated with Din beställning är på väg E-postbedrägeri:
Subject: Delivery update: order #[145133] dispatched – Ref: #F88410 |
