Eine bösartige E-Mail-Kampagne, die sich als DHL ausgibt, verteilt einen Anhang, der beim Öffnen Malware installiert. Die E-Mail verwendet den Betreff ” DHL Shipment Notification Ref ID: 44633179800 ” und behauptet, dass DHL digitale Kopien der Versandunterlagen verschickt. Die Nachricht weist den Empfänger an, eine Datei herunterzuladen und zu öffnen sowie das Bearbeiten zu aktivieren, sobald das Dokument geöffnet ist. Die E-Mail ist bösartig und sollte ignoriert werden.
Die E-Mail präsentiert sich als Hinweis mit Versanddokumenten. Die angehängte Datei ist ein Word-Dokument, das in einem Format namens “Original Shipping Documents [random numbers].docx” bezeichnet wird. Der Aufsatz ist der Hauptbestandteil des Angriffs. Beim Öffnen fordert das Dokument den Benutzer auf, das Bearbeiten zu aktivieren. Dadurch wird bösartiger Makrocode aktiviert, der in der Datei eingebettet ist. Sobald es aktiv ist, versucht das Makro, zusätzliche Malware von entfernten Servern herunterzuladen.
Die Analyse von Proben aus dieser Kampagne zeigt, dass das Dokument ein Trojaner-Downloader ist. Nachdem das Makro ausgeführt wurde, ruft die Schadsoftware Dateien ab, die Login-Daten sammeln, Browserdaten lesen, Tastenanschläge protokollieren oder den Fernzugriff auf das Gerät ermöglichen können. Einige Varianten versuchen, weitere Malware zu installieren oder das Gerät mit einem entfernten Kommandoserver zu verbinden. Der Vorgang beruht darauf, dass der Benutzer die Bearbeitung aktiviert, was dem bösartigen Code Zugriff auf Systemfunktionen gewährt.
Die bösartige E-Mail ahmt das DHL-Branding nach, um glaubwürdig zu wirken. Angreifer verwenden die Farben, die Layoutstruktur und die Platzierung des Logos von DHL, um eine Nachricht zu erzeugen, die einer Versandbenachrichtigung ähnelt. Die E-Mail zeigt eine Referenznummer in der Betreffzeile an, um noch offizieller zu wirken. Der Inhalt enthält jedoch keine Sendungsverfolgungsinformationen, Absenderinformationen, Versandherkünfte oder personalisierte Details. Die Nachricht enthält keine Links zur DHL-Website und basiert ausschließlich darauf, den Nutzer davon zu überzeugen, den Anhang zu öffnen.
Die Angreifer hinter dieser Kampagne verlassen sich auf die weltweite Anerkennung von DHL. Der Name und das Branding ermutigen die Empfänger, die Botschaft als legitim zu glauben, besonders wenn sie eine Lieferung erwarten oder Erfahrung mit Versanddiensten haben. Der Betrug beruht darauf, dass der Empfänger schnell reagiert, der Nachricht glaubt und die Datei öffnet, ohne die Quelle zu überprüfen. Sobald der Benutzer das Bearbeiten aktiviert, ist das Gerät der vollständigen Malware-Nutzlast ausgesetzt.
Die vollständige ” DHL Shipment Notification Ref ID: 44633179800 E-Mail” finden Sie unten:
Subject: DHL Shipment Notification Ref ID: 44633179800
Dear Customer,
Find attached the soft copies of your shipping documents to this email. kindly check to track your shipment status and print shipping documents.
We are pleased to provide you with delivery that fits your life.
Thanks and regards,
Ann-Kristine Johansson
Customer Service Director
DHL Express
GOGREEN – Environmental Protection with DHL
Wie man bösartige E-Mails erkennt
Die Erkennung bösartiger E-Mails ist unerlässlich, um Malware-Infektionen zu verhindern. Mehrere Indikatoren können den Nutzern helfen zu bestimmen, ob eine E-Mail verdächtig oder potenziell schädlich ist. Eines der deutlichsten Anzeichen ist die Adresse des Absenders. DHL verwendet offizielle Domains für alle Kundenkommunikation. Jede E-Mail, die von einem kostenlosen E-Mail-Dienst wie Gmail oder einer unbekannten Domain stammt, sollte mit Vorsicht behandelt werden. Angreifer können auch verschiedene Varianten legitimer Domains nutzen, um Nutzer zu täuschen, daher ist eine genaue Kontrolle der Adresse wichtig.
Ein weiteres Warnsignal ist die Verwendung generischer Begrüßungen oder vager Aussagen über Lieferungen. Seriöse Unternehmen nennen Kunden typischerweise beim Namen oder geben spezifische Bestelldetails an. Betrüger verwenden oft weite Formulierungen wie “Sehr geschätzter Kunde” oder “Ihre Lieferung ist angekommen”, ohne Kontext zu liefern. Nutzer sollten vorsichtig sein bei unerwarteten E-Mails über Lieferungen, die sie nicht angefordert haben, oder Pakete, die sie nicht erwarten.
Anhänge sind eine große Risikoquelle. DHL stellt in der Regel Sendungsverfolgungsinformationen über Links zu ihrer offiziellen Website bereit, nicht über angehängte Dokumente. Eine Datei, bei der der Benutzer das Bearbeiten oder Aktivieren von Makros aktivieren muss, ist ein starker Hinweis auf böswillige Absicht. Nutzer sollten niemals das Bearbeiten oder Skripte für unerwünschte Anhänge aktivieren, insbesondere solche, die behaupten, Versanddokumente zu enthalten. Wenn die E-Mail einen Anhang enthält, sollten Empfänger deren Echtheit über unabhängige Kanäle überprüfen, etwa durch das manuelle Überprüfen bestehender Bestellungen oder den manuellen Besuch der offiziellen DHL-Website.
Grammatik-, Rechtschreib- und Formatierungsfehler können ebenfalls bösartige Nachrichten anzeigen. Angreifer folgen möglicherweise nicht den Unternehmens-Stilrichtlinien, und ihre E-Mails enthalten manchmal umständliche Formulierungen oder inkonsistente Formatierung. Während einige Betrügereien sorgfältig gestaltet sind und ausgereift wirken können, enthalten viele Fehler, die darauf hindeuten, dass es sich nicht um legitime Unternehmenskommunikation handelt.
Nutzer sollten auch alle Links in der Nachricht prüfen. Indem man mit der Maus über einen Link fährt, können Empfänger die Ziel-URL sehen. Wenn die Adresse nicht mit der offiziellen DHL-Domain übereinstimmt, sollte sie nicht geöffnet werden. Angreifer verwenden oft Links, die legitime Websites nachahmen, indem sie ähnliche Namen oder Charaktere einfügen, die leicht übersehen werden können. Diese irreführenden Adressen können zu Phishing-Seiten führen, die darauf abzielen, Zugangsdaten oder persönliche Informationen zu stehlen.
Unerwartete Zahlungsanfragen, personenbezogene Daten oder Verifizierungen sollten ebenfalls als verdächtig behandelt werden. DHL und andere seriöse Zusteller bitten Kunden nicht, sensible Informationen per unerwünschter E-Mail bereitzustellen. Jede Nachricht, die Anmeldedaten, finanzielle Informationen oder Identitätsdaten anfordert, gilt als betrügerisch, sofern sie nicht unabhängig überprüft wird.
Das Erkennen von Anzeichen bösartiger E-Mail-Kommunikation ist entscheidend, besonders da Angreifer ihre Taktiken weiter verbessern. Paketzustellungs-Betrügereien sind weiterhin verbreitet, da sie alltägliche Erfahrungen ausnutzen und schwer von echten Nachrichten zu unterscheiden sind. Sorgfältige Inspektion und vorsichtiges Verhalten bleiben die besten Abwehrmechanismen gegen diese Bedrohungen.