Una campagna email dannosa che si spaccia per DHL sta distribuendo un allegato che installa malware quando viene aperto. L’email utilizza l’oggetto ” DHL Shipment Notification Ref ID: 44633179800 ” e afferma che DHL sta inviando copie digitali dei documenti di spedizione. Il messaggio istruisce il destinatario a scaricare e aprire un file e a abilitare la modifica una volta aperto il documento. L’email è malevola e dovrebbe essere ignorata.
L’email si presenta come un avviso contenente documenti di spedizione. Il file allegato è un documento Word denominato in un formato simile a “Original Shipping Documents [random numbers].docx.” L’attacco è la parte principale dell’attacco. Quando viene aperto, il documento indica all’utente di abilitare la modifica. Facendo ciò, si attiva il codice macro malevolo incorporato all’interno del file. Una volta attiva, la macro tenta di scaricare ulteriore malware da server remoti.
L’analisi dei campioni di questa campagna mostra che il documento è un downloader Trojan. Dopo l’esecuzione della macro, il malware recupera file che possono raccogliere credenziali di accesso, leggere dati del browser, registrare le pressioni di tasti o consentire l’accesso remoto al dispositivo. Alcune varianti tentano di installare ulteriori malware o di collegare il dispositivo a un server di comandi remoto. L’operazione si basa sull’abilitazione dell’editing da parte dell’utente, che dà al codice malevolo accesso alle funzioni di sistema.
L’email maliziosa imita il branding DHL per farla apparire credibile. Gli attaccanti utilizzano i colori, la struttura del layout e la posizione del logo di DHL per creare un messaggio che somiglia a un avviso di spedizione. L’email mostra un numero di riferimento nell’oggetto per apparire ulteriormente ufficiale. Tuttavia, il contenuto non include dati di tracciamento, informazioni sul mittente, origini della spedizione o dettagli personalizzati. Il messaggio non contiene link al sito web di DHL e si basa interamente sul convincere l’utente ad aprire l’allegato.
Gli aggressori dietro questa campagna si affidano al riconoscimento globale di DHL. Il nome e il marchio incoraggiano i destinatari a credere che il messaggio sia legittimo, soprattutto quando si aspettano una consegna o hanno esperienza con servizi di spedizione. La truffa si basa sul fatto che il destinatario reagisca rapidamente, creda al messaggio e apre il file senza verificare la fonte. Una volta che l’utente abilita la modifica, il dispositivo viene esposto all’intero payload malware.
L’email completa ” DHL Shipment Notification Ref ID: 44633179800 ” è qui sotto:
Subject: DHL Shipment Notification Ref ID: 44633179800
Dear Customer,
Find attached the soft copies of your shipping documents to this email. kindly check to track your shipment status and print shipping documents.
We are pleased to provide you with delivery that fits your life.
Thanks and regards,
Ann-Kristine Johansson
Customer Service Director
DHL Express
GOGREEN – Environmental Protection with DHL
Come identificare le email malevole
Identificare le email dannose è essenziale per prevenire le infezioni da malware. Diversi indicatori possono aiutare gli utenti a determinare se un’email sia sospetta o potenzialmente dannosa. Uno dei segnali più evidenti è l’indirizzo del mittente. DHL utilizza domini ufficiali per tutta la comunicazione con i clienti. Qualsiasi email proveniente da un servizio email gratuito, come Gmail o da un dominio sconosciuto, dovrebbe essere trattata con cautela. Gli attaccanti possono anche utilizzare varianti di domini legittimi per ingannare gli utenti, quindi è importante un’analisi attenta dell’indirizzo.
Un altro campanello d’allarme è l’uso di saluti generici o dichiarazioni vaghe sulle spedizioni. Le aziende legittime di solito si riferiscono ai clienti per nome o includono dettagli specifici sugli ordini. I truffatori spesso usano frasi generiche come “Caro cliente” o “La sua spedizione è arrivata” senza fornire il contesto. Gli utenti dovrebbero stare attenti a email impreviste riguardanti consegne non richieste o pacchi che non si aspettano.
Gli attaccamenti sono una fonte importante di rischio. DHL generalmente fornisce informazioni di tracciamento tramite link al loro sito ufficiale, non tramite documenti allegati. Un file che richiede all’utente di abilitare la modifica o le macro è un forte indicatore di intenzione malevola. Gli utenti non dovrebbero mai attivare la modifica o abilitare script per allegati non richiesti, specialmente quelli che affermano di contenere documenti di spedizione. Se l’email contiene un allegato, i destinatari dovrebbero verificarne l’autenticità tramite canali indipendenti, come controllare gli ordini esistenti o visitare manualmente il sito ufficiale di DHL.
Anche errori di grammatica, ortografia e formattazione possono segnalare messaggi dannosi. Gli aggressori potrebbero non seguire le guide di stile aziendali e le loro email a volte contengono formulazioni goffe o formattazioni incoerenti. Sebbene alcune truffe siano realizzate con cura e possano sembrare curate, molte includono errori che indicano che non si tratta di comunicazioni aziendali legittime.
Gli utenti dovrebbero anche valutare eventuali link presenti nel messaggio. Passando il mouse su un link, i destinatari possono vedere l’URL di destinazione. Se l’indirizzo non corrisponde al dominio ufficiale di DHL, non dovrebbe essere aperto. Gli attaccanti spesso usano link che imitano siti web legittimi includendo nomi o personaggi simili che sono facili da trascurare. Questi indirizzi ingannevoli possono portare a pagine di phishing progettate per rubare credenziali di accesso o informazioni personali.
Anche richieste impreviste di pagamento, dati personali o verifica dovrebbero essere considerate sospette. DHL e altri operatori affidabili non chiedono ai clienti di fornire informazioni sensibili tramite email non richieste. Qualsiasi messaggio che richieda credenziali di accesso, informazioni finanziarie o dati d’identità dovrebbe essere considerato fraudolento a meno che non venga verificato in modo indipendente.
Riconoscere i segnali di una comunicazione email dannosa è fondamentale, soprattutto mentre gli aggressori continuano a perfezionare le loro tattiche. Le truffe a tema consegna pacchi restano comuni perché sfruttano le esperienze quotidiane e possono essere difficili da distinguere dai messaggi autentici. Un’ispezione attenta e un comportamento cauto rimangono le migliori difese contro queste minacce.