Your Order Is On The Way Вирус электронной почты — это кампания по распространению вредоносного ПО, замаскированная под уведомление о подтверждении отправки. В письме сообщается получателям о отправке посылки и указано проверить информацию о доставке по предоставленной гиперссылке. Кампания использует поддельные данные о доставке, чтобы заманить пользователей загрузить вредоносное ПО для удалённого доступа на свои системы.
Письмо перенаправляет получателей на increminder.com — вредоносный сайт, используемый в цепочке заражения. На странице представлена загрузка, замаскированная под информацию, связанную с отправкой, связанной с предполагаемым заказом. Посетителям рекомендуется скачать файл, чтобы получить доступ к информации о доставке или данных отслеживания.
Загруженный файл называется ScreenConnect.ClientSetup.msi. Вместо содержимого достоверной информации о поставках установщик запускает троянизированную версию ScreenConnect. ScreenConnect — это настоящее приложение для удалённого администрирования, часто используемое для технической поддержки и удалённого управления. Однако в этой кампании программное обеспечение злоупотребляется для предоставления злоумышленникам несанкционированного удалёного доступа к заражённым системам.
После установки вредоносное ПО позволяет киберпреступникам удалённо взаимодействовать с скомпрометированным устройством. Злоумышленники могут просматривать файлы, отслеживать активность, красть сохранённые учетные данные, внедрять дополнительное вредоносное ПО или напрямую манипулировать системой. Поскольку инфекция предоставляет возможности удалённого управления, злоумышленники могут эффективно управлять устройством без ведома пользователя.
Your Order Is On The Way Вирус электронной почты избегает применения драматических запугивания, часто связанных с фишинговыми кампаниями. Вместо угрозы блокировки аккаунта или финансовых потерь, сообщение имитирует рутинное уведомление о доставке, которое естественно сочетается с легитимными почтами, которые пользователи получают ежедневно. Это знакомство делает кампанию более убедительной, поскольку получатели могут автоматически взаимодействовать с уведомлением о отправке, не проверяя тщательно отправителя или пункт назначения.
Сам процесс заражения структурирован так, чтобы казаться правдоподобным. Письмо сначала устанавливает доверие через уведомление о отправке. Вредоносная страница на increminder.com затем укрепляет это доверие, представляя загрузку как информацию, связанную с пакетом, а не как вредоносное ПО. Наконец, файл установщика использует имя, напоминающее легитимное программное обеспечение, а не явно подозрительный исполняемый файл.
Ещё одним важным аспектом вируса Your Order Is On The Way электронной почты является злоупотребление легальным программным обеспечением. Поскольку ScreenConnect широко признан реальной платформой удалённого управления, некоторые пользователи могут не сразу воспринимать установку как опасную. Это позволяет злоумышленникам скрывать вредоносную активность за программным обеспечением, которое выглядит аутентичным и профессионально разработанным.
Любой, кто скачал или выполнил ScreenConnect.ClientSetup.msi, должен считать систему потенциально скомпрометированной. Вредоносное обеспечение с удалённым доступом может раскрывать личные файлы, хранящиеся пароли, данные браузера, финансовую информацию и рабочие учетные данные. Устройства, поражённые вредоносным ПО, должны быть отключены от сетей, просканированы с помощью надёжного программного обеспечения и проверены на предмет несанкционированной активности. Пароли, подключённые к конфиденциальным аккаунтам, также следует менять с помощью отдельного, чистого устройства.
Полное « Your Order Is On The Way » вредоносное письмо приведено ниже:
Subject: Delivery update: order #[145133] dispatched – Ref: #F88410
Dear Customer,
Great news — your order has been shipped and is currently on its way to you.
You can check your tracking number and full shipping details by clicking the button below.
[View Shipping Details]
Thank you for shopping with us.
Best regards,
Customer Support Team
Как распознавать вредоносные письма
Письма, связанные с кампаниями вредоносного ПО, такими Your Order Is On The Way как вирус электронной почты, часто кажутся убедительными, поскольку имитируют знакомые сервисы и рутинную онлайн-активность. Уведомления о доставке особенно эффективны, поскольку многие пользователи регулярно получают обновления о доставке от розничных продавцов и курьеров.
Важным тревожным признаком является получение подтверждения отправки заказа, который так и не был сделан. Злоумышленники полагаются на любопытство и рутинное поведение, надеясь, что получатели подумают, что сообщение связано с забытой или недавней покупкой. К уведомлениям о неожиданной доставке всегда следует обращаться осторожно, особенно если такого заказа нет.
Сайт назначения — ещё один важный показатель. В этой кампании письмо перенаправляет пользователей на increminder.com, а не на легального ритейлера или признанную транспортную компанию. Перед взаимодействием со ссылками внутри писем пользователям следует тщательно осмотреть домен, чтобы определить, относится ли он к ожидаемому сервису.
Ещё одним важным тревожным признаком является запрос на загрузку установочных файлов, связанных с отслеживанием поставок. Легальные курьеры предоставляют информацию о отслеживании напрямую через свои официальные сайты и не требуют от пользователей установки MSI или удалённого администрирования для проверки деталей доставки. Наличие файла с именем ScreenConnect.ClientSetup.msi должно сразу вызвать подозрения, поскольку уведомления о поставке обычно не распространяют удалённые установщики управления.
Адрес отправителя также может выявить признаки мошенничества. Фишинговые кампании часто используют не связанные домены, случайные адреса или имена, имитирующие службы поддержки, не принадлежащие к легитимным организациям. Даже если имя отправителя выглядит профессионально, фактический адрес может указывать на то, что письмо не исходило от доверенного источника.
Ещё один тревожный знак — расплывчатая информация о поставках. Вирус Your Order Is On The Way электронной почты опирается на общие ссылки на отслеживание посылок и обновления доставки вместо предоставления подробной информации о заказах, связанных с легальными покупками. Многие вредоносные письма с отправками намеренно избегают указания конкретных названий товаров или информации о продавце, поскольку они распространяются сразу среди множества получателей.
Пользователям также следует быть осторожными с любым письмом, призывающим к немедленному скачиванию. Вредоносные кампании часто маскируют вредоносные файлы под счета, документы по доставке, подтверждения заказов или отчёты по отслеживанию. Открытие этих файлов может заразить систему или подвергнуть пользователей дополнительной вредоносной активности.
Самый безопасный ответ на подозрительные уведомления о поставках — полностью избегать использования ссылок, указанных в письме. Отслеживание посылок следует проверять напрямую через официальный сайт продавца или курьера с использованием вручную введённых адресов или проверенных закладок.