Вредоносная email-кампания, выдающая себя за DHL, распространяет вложение, которое при открытии устанавливает вредоносное ПО. В письме используется тема « DHL Shipment Notification Ref ID: 44633179800 » и утверждается, что DHL отправляет цифровые копии документов на доставку. В сообщении указано получателю скачать и открыть файл, а также включить редактирование после открытия документа. Письмо является вредоносным и его следует игнорировать.
Письмо представлено как уведомление с документами о доставке. Прилагаемый файл — это документ Word с названием в формате, напоминающем «Оригинальные документы отправки [случайные номера].docx». Прикрепление — основная часть атаки. При открытии документ сообщает пользователю включить редактирование. Это активирует вредоносный макрокод, встроенный в файл. После активации макрос пытается загрузить дополнительное вредоносное ПО с удалённых серверов.
Анализ образцов из этой кампании показывает, что документ является троянским загрузчиком. После запуска макроса вредоносное ПО получает файлы, которые могут собирать учетные данные для входа, читать данные браузера, регистрировать нажатия клавиш или обеспечивать удалённый доступ к устройству. Некоторые варианты пытаются установить дополнительное вредоносное ПО или подключить устройство к удалёному командному серверу. Операция основывается на том, что пользователь позволяет редактировать, что даёт вредоносному коду доступ к функциям системы.
Вредоносное письмо имитирует брендинг DHL, чтобы выглядеть достоверно. Злоумышленники используют цвета, структуру макета и расположение логотипа DHL, чтобы создать сообщение, напоминающее уведомление о доставке. В теме письма отображается номер ссылки, чтобы выглядеть официально. Однако контент не включает данные отслеживания, информацию о отправителях, происхождение отправки или персонализированные данные. Сообщение не содержит ссылок на сайт DHL и полностью зависит от убеждения пользователя открыть вложение.
Злоумышленники, стоящие за этой кампанией, полагаются на глобальное признание DHL. Название и брендинг побуждают получателей верить в подлинность сообщения, особенно если они ожидают доставку или имеют опыт работы с сервисами доставки. Мошенничество зависит от того, что получатель быстро отреагирует, поверит сообщению и откроет файл без проверки источника. После включения редактирования устройство подвергается полной нагрузке вредоносного ПО.
Полное письмо « DHL Shipment Notification Ref ID: 44633179800 » приведено ниже:
Subject: DHL Shipment Notification Ref ID: 44633179800
Dear Customer,
Find attached the soft copies of your shipping documents to this email. kindly check to track your shipment status and print shipping documents.
We are pleased to provide you with delivery that fits your life.
Thanks and regards,
Ann-Kristine Johansson
Customer Service Director
DHL Express
GOGREEN – Environmental Protection with DHL
Как распознать вредоносные письма
Выявление вредоносных писем крайне важно для предотвращения заражения вредоносным ПО. Несколько индикаторов могут помочь пользователям определить, является ли письмо подозрительным или потенциально вредным. Один из самых очевидных признаков — адрес отправителя. DHL использует официальные домены для всей коммуникации с клиентами. Любое письмо, поступающее от бесплатного почтового сервиса, такого как Gmail, или с незнакомого домена, следует относиться с осторожностью. Злоумышленники также могут использовать различные варианты легитимных доменов для обмана пользователей, поэтому важно внимательно проверить адрес.
Ещё один тревожный сигнал — использование общих приветствий или расплывчатых заявлений о поставках. Легальные компании обычно обращаются к клиентам по имени или включают конкретные данные заказа. Мошенники часто используют общие фразы, такие как «Уважаемый клиент» или «Ваша поставка прибыла», не давая контекста. Пользователям следует быть осторожными с неожиданными письмами о доставках, которые они не запрашивали, или о нежелательных посылках.
Привязанность — это серьёзный источник риска. DHL обычно предоставляет информацию о отслеживании через ссылки на свой официальный сайт, а не через прилагаемые документы. Файл, требующий от пользователя включения редактирования или включения макросов, является сильным признаком вредоносного умысла. Пользователям никогда не следует активировать редактирование или включать скрипты для незапрошенных вложений, особенно тех, где заявлено наличие документов о доставке. Если в письме есть вложение, получатели должны проверить его подлинность через независимые каналы, например, проверяя существующие заказы или посещая официальный сайт DHL вручную.
Грамматические, орфографические и форматировочные ошибки также могут указывать на вредоносные сообщения. Злоумышленники могут не следовать корпоративным руководствам по стилю, а их письма иногда содержат неудобные формулировки или непоследовательное форматирование. Хотя некоторые мошенничества разрабатываются с тщательностью и могут выглядеть отшлифованными, многие содержат ошибки, указывающие на то, что это не легитимные корпоративные коммуникации.
Пользователям также следует оценивать любые ссылки в сообщении. Наведя курсор на ссылку, получатели могут увидеть адрес получателя. Если адрес не совпадает с официальным доменом DHL, его не следует открывать. Злоумышленники часто используют ссылки, имитирующие легитимные сайты, с похожими названиями или персонажами, которые легко упустить. Такие обманчивые адреса могут привести к фишинговым страницам, предназначенным для кражи учетных данных или личной информации.
Неожиданные запросы на оплату, личные данные или подтверждение также должны рассматриваться как подозрительные. DHL и другие уважаемые операторы не требуют от клиентов предоставлять конфиденциальную информацию через нежелательные письма. Любое сообщение с запросом учетных данных для входа, финансовой информации или идентификационных данных должно считаться мошенническим, если оно не подтверждено независимо.
Распознавание признаков вредоносной электронной переписки крайне важно, особенно по мере того, как злоумышленники продолжают совершенствовать свои тактики. Мошенничество, связанное с доставкой посылок, остаётся распространённым, поскольку они эксплуатируют повседневный опыт и могут быть трудноотличимы от настоящих сообщений. Тщательная проверка и осторожное поведение остаются лучшей защитой от этих угроз.