Ваше замовлення вже в дорозі Шахрайство електронною поштою

До неочікуваних електронних листів, що стосуються покупок, доставки або активності в обліковому записі, завжди слід ставитися з обережністю. Кіберзлочинці часто маскують шкідливі повідомлення під законні ділові комунікації, намагаючись змусити одержувачів діяти без перевірки. Кампанія електронної пошти «Ваше замовлення в дорозі» є одним із таких прикладів. Детальний аналіз підтвердив, що ці електронні листи є шкідливими спам-повідомленнями та не пов’язані з жодними законними компаніями, постачальниками послуг доставки, роздрібними торговцями чи організаціями.

Фальшиві сповіщення про доставку, розроблені для створення терміновості

Електронні листи з написом «Ваше замовлення в дорозі» написані так, щоб імітувати справжні сповіщення про відправлення. Зазвичай вони надходять із темами, що містять номери замовлень та контрольні коди, щоб повідомлення виглядали достовірними та професійними.

Одержувачів повідомляють, що їхню посилку нібито відправлено, і заохочують натиснути кнопку «Переглянути деталі доставки», щоб отримати доступ до інформації про відстеження та оновлень щодо доставки. Формулювання навмисно розроблене для того, щоб викликати цікавість і терміновість, збільшуючи ймовірність того, що одержувачі перейдуть за наданим посиланням, не переглянувши уважно повідомлення.

Насправді, електронні листи не стосуються жодної справжньої покупки чи відправки. Їхня єдина мета — перенаправити одержувачів на шкідливий веб-сайт, призначений для зараження систем шкідливим програмним забезпеченням.

Шкідливий вебсайт, що стоїть за шахрайством

Натискання на вбудоване посилання перенаправляє користувачів на шахрайську сторінку, розміщену на increminder.com. Сайт оформлений під виглядом порталу управління замовленнями або доставки, що ще більше посилює ілюзію легітимності.

На веб-сторінці стверджується, що інформацію про відправлення оброблено, а також зазначено, що деталі замовлення доступні для завантаження. Також попереджається, що завантажений файл може знадобитися для отримання посилки – психологічна тактика, спрямована на те, щоб змусити відвідувачів продовжити завантаження.

Замість надання інформації для відстеження або документації замовлення, сайт надає шкідливий файл під назвою «ScreenConnect.ClientSetup.msi». Цей файл представлений як звичайний інсталятор Windows, але насправді містить троянську версію ScreenConnect.

Троянське програмне забезпечення для віддаленого доступу створює серйозні ризики

ScreenConnect — це легітимне програмне забезпечення для віддаленого робочого столу, розроблене ConnectWise та широко використовується фахівцями ІТ-підтримки для віддаленої допомоги та управління системами. Однак кіберзлочинці часто зловживають такими інструментами, модифікуючи їх та розповсюджуючи версії, здатні надавати несанкціонований віддалений доступ до пристроїв жертв.

Після запуску шкідливого інсталятора, інструмент віддаленого доступу може непомітно працювати у фоновому режимі, не привертаючи уваги. Зловмисники можуть отримати широкий контроль над ураженою системою та виконувати широкий спектр шкідливих дій, зокрема:

• Крадіжка конфіденційних файлів та збережених облікових даних
• Моніторинг активності користувачів та збір конфіденційної інформації
• Встановлення додаткового шкідливого програмного забезпечення, такого як програми-вимагачі або шпигунські програми
• Здійснення шахрайських транзакцій або зловживання онлайн-акаунтами

Оскільки шкідливе програмне забезпечення забезпечує постійний віддалений доступ, уражені системи слід вважати повністю скомпрометованими.

Як кампанії Malspam розповсюджують шкідливе програмне забезпечення

Спам-кампанії часто поширюють шкідливе програмне забезпечення через шкідливі вкладення або через посилання, що ведуть на шкідливі веб-сайти. У багатьох випадках файли маскуються під рахунки-фактури, квитанції, транспортні документи або виписки з рахунків, щоб спонукати одержувачів відкривати їх без підозр.

У цій кампанії зловмисники покладаються на шкідливе посилання, а не на пряме вкладення. Одержувачі, які переходять за посиланням, потрапляють на фальшивий портал замовлень, де їх маніпулюють, змушуючи завантажити заражений файл інсталятора. Після запуску шкідливе програмне забезпечення встановлює можливості віддаленого доступу, залишаючись практично невидимим для жертви.

Цей метод дозволяє зловмисникам обійти деякі фільтри безпеки електронної пошти, оскільки шкідливе корисне навантаження розміщується зовні, а не додається безпосередньо до електронного листа.

Негайні кроки для постраждалих користувачів

Будь-хто, хто завантажив або виконав інсталятор «ScreenConnect.ClientSetup.msi», повинен припустити, що несанкціонований доступ до системи вже міг бути отриманий. Наполегливо рекомендується вжити негайних заходів, щоб мінімізувати потенційну шкоду.

Слід негайно виконати повне сканування на наявність вірусів або шкідливих програм, а всі конфіденційні паролі, пов’язані з ураженим пристроєм, слід змінити з окремої безпечної системи. Фінансові рахунки, облікові записи електронної пошти та бізнес-логіни також слід контролювати на наявність підозрілої активності.

Сам шкідливий електронний лист слід негайно видалити, а одержувачам слід уникати переходу за посиланнями та завантаження файлів, пов’язаних із цим повідомленням.

Захист від шахрайства, пов’язаного з доставкою

Фішингові кампанії та кампанії зі шкідливим програмним забезпеченням, пов’язані з доставкою, залишаються дуже ефективними, оскільки вони використовують поширені звички онлайн-покупок та очікування оновлень посилок. Зловмисники покладаються на швидку реакцію одержувачів, перш ніж ретельно оцінити легітимність повідомлення.

Користувачі можуть зменшити ризик цих загроз, перевіряючи сповіщення про доставку безпосередньо через офіційні веб-сайти роздрібних продавців або кур'єрських служб, уникаючи завантажень з небажаних електронних листів та скептично ставлячись до неочікуваних сповіщень про доставку. Навіть електронні листи, які здаються вишуканими та професійними, можуть приховувати серйозні загрози безпеці під переконливим брендингом та терміновою мовою.