Une campagne d’emails malveillante se faisant passer pour DHL distribue une pièce jointe qui installe des malwares lorsqu’elle est ouverte. L’email utilise l’objet de la ligne « DHL Shipment Notification Ref ID: 44633179800 » et affirme que DHL envoie des copies numériques des documents d’expédition. Le message demande au destinataire de télécharger et d’ouvrir un fichier et d’activer la modification une fois le document ouvert. L’email est malveillant et doit être ignoré.
L’e-mail se présente comme un avis contenant des documents d’expédition. Le fichier joint est un document Word nommé dans un format ressemblant à « Documents d’expédition originaux [numéros aléatoires].docx. » L’attachement est la partie principale de l’attaque. Lorsqu’il est ouvert, le document indique à l’utilisateur d’activer l’édition. Cela active un code macro malveillant intégré dans le fichier. Une fois active, la macro tente de télécharger des malwares supplémentaires depuis des serveurs distants.
L’analyse des échantillons de cette campagne montre que le document est un téléchargeur de chevaux de Troie. Après l’exécution de la macro, le malware récupère des fichiers pouvant collecter des identifiants de connexion, lire les données du navigateur, enregistrer les frappes ou permettre un accès à distance à l’appareil. Certaines variantes tentent d’installer d’autres logiciels malveillants ou de connecter l’appareil à un serveur de commandes distant. L’opération repose sur l’activation de l’édition par l’utilisateur, ce qui donne au code malveillant l’accès aux fonctions système.
L’email malveillant imite le branding DHL pour paraître crédible. Les attaquants utilisent les couleurs, la structure de mise en page et le placement du logo de DHL pour créer un message ressemblant à un avis d’expédition. L’e-mail affiche un numéro de référence dans l’objet pour paraître encore plus officiel. Cependant, le contenu ne contient pas les données de suivi, les informations de l’expéditeur, l’origine de l’expédition ni les détails personnalisés. Le message ne contient pas de liens vers le site web de DHL et repose entièrement sur la persuasion de l’utilisateur d’ouvrir la pièce jointe.
Les attaquants derrière cette campagne s’appuient sur la reconnaissance mondiale de DHL. Le nom et la marque encouragent les destinataires à croire que le message est légitime, surtout lorsqu’ils attendent une livraison ou ont de l’expérience avec les services de livraison. L’arnaque repose sur la réaction rapide du destinataire, croyant le message et ouvrant le fichier sans vérifier la source. Une fois que l’utilisateur active la modification, l’appareil est exposé à la charge utile complète du malware.
L’e-mail complet « DHL Shipment Notification Ref ID: 44633179800 » est ci-dessous :
Subject: DHL Shipment Notification Ref ID: 44633179800
Dear Customer,
Find attached the soft copies of your shipping documents to this email. kindly check to track your shipment status and print shipping documents.
We are pleased to provide you with delivery that fits your life.
Thanks and regards,
Ann-Kristine Johansson
Customer Service Director
DHL Express
GOGREEN – Environmental Protection with DHL
Comment identifier les emails malveillants
Identifier les emails malveillants est essentiel pour prévenir les infections par malwares. Plusieurs indicateurs peuvent aider les utilisateurs à déterminer si un e-mail est suspect ou potentiellement nuisible. L’un des signes les plus évidents est l’adresse de l’expéditeur. DHL utilise des domaines officiels pour toute la communication avec les clients. Tout e-mail provenant d’un service de messagerie gratuit, comme Gmail ou d’un domaine inconnu, doit être traité avec prudence. Les attaquants peuvent également utiliser des variantes de domaines légitimes pour tromper les utilisateurs, il est donc important d’examiner de près l’adresse.
Un autre signal d’alerte est l’utilisation de salutations génériques ou d’affirmations vagues concernant les expéditions. Les entreprises légitimes désignent généralement les clients par leur nom ou incluent des détails spécifiques sur les commandes. Les escrocs utilisent souvent des expressions larges comme « Cher client » ou « Votre livraison est arrivée » sans fournir de contexte. Les utilisateurs doivent se méfier des courriels inattendus concernant des livraisons qu’ils n’ont pas demandées ou des colis qu’ils ne s’attendent pas.
Les attachements sont une source majeure de risque. DHL fournit généralement des informations de suivi via des liens vers leur site officiel, et non via des documents joints. Un fichier qui exige que l’utilisateur active l’édition ou les macros soit un fort indicateur d’intention malveillante. Les utilisateurs ne doivent jamais activer la modification ni activer des scripts pour des pièces jointes non sollicitées, en particulier celles prétendant contenir des documents d’expédition. Si l’email contient une pièce jointe, les destinataires doivent vérifier son authenticité par des canaux indépendants, comme vérifier les commandes existantes ou consulter manuellement le site officiel de DHL.
Des erreurs de grammaire, d’orthographe et de mise en forme peuvent également signaler des messages malveillants. Les attaquants peuvent ne pas suivre les guides de style de l’entreprise, et leurs e-mails comportent parfois des formulations maladroites ou une mise en forme incohérente. Bien que certaines arnaques soient élaborées avec soin et puissent sembler soigneuses, beaucoup comportent des erreurs indiquant qu’il ne s’agit pas de communications d’entreprise légitimes.
Les utilisateurs doivent également évaluer les liens contenus dans le message. En survolant un lien, les destinataires peuvent voir l’URL de destination. Si l’adresse ne correspond pas au domaine officiel de DHL, elle ne doit pas être ouverte. Les attaquants utilisent souvent des liens qui imitent des sites web légitimes en incluant des noms ou des personnages similaires faciles à négliger. Ces adresses trompeuses peuvent conduire à des pages de phishing conçues pour voler des identifiants de connexion ou des informations personnelles.
Les demandes imprévues de paiement, de données personnelles ou de vérification doivent également être considérées comme suspectes. DHL et d’autres assureurs réputés ne demandent pas aux clients de fournir des informations sensibles par e-mails non sollicités. Tout message demandant des identifiants de connexion, des informations financières ou des informations d’identité doit être considéré comme frauduleux sauf vérification indépendante.
Reconnaître les signes de communication malveillante par e-mail est vital, d’autant plus que les attaquants continuent d’affiner leurs tactiques. Les arnaques sur le thème de la livraison de colis restent courantes car elles exploitent les expériences quotidiennes et peuvent être difficiles à distinguer des messages authentiques. Une inspection attentive et un comportement prudent restent les meilleures défenses contre ces menaces.