Penipuan Pengiriman-Pengiriman Menjadi Cara Favorit untuk Menyebarkan Malware

Pelaku
Threat semakin sering menggunakan penipuan yang menipu kurir paket seperti DHL atau Layanan Pos AS dalam email phishing yang tampak asli yang mencoba menipu korban untuk mengunduh pencurian kredensial atau muatan berbahaya lainnya, menurut temuan para peneliti.

Peneliti dari Avanan, sebuah perusahaan Check Point , dan Cofense telah menemukan kampanye phishing baru-baru ini yang menyertakan tautan atau lampiran berbahaya yang ditujukan untuk menginfeksi perangkat dengan Trickbot dan malware berbahaya lainnya, mereka melaporkan secara terpisah pada hari Kamis. terkait dengan pengiriman untuk mencoba mendapatkan tindakan lebih lanjut untuk membahayakan sistem perusahaan, kata para peneliti.

Memang, tren ini telah menjadi begitu umum sehingga bahkan membuat DHL mendapatkan perbedaan yang meragukan menggantikan Microsoft di bagian atas daftar Perangkat Lunak Titik Periksa merek yang paling ditiru oleh aktor ancaman di q . keempat uarter 2021. Penipuan yang terkait dengan kurir menyumbang 23 persen dari semua email phishing selama jangka waktu tersebut ketika nama perusahaan telah dilampirkan hanya 9 persen dari penipuan pada kuartal ketiga.

Secara khusus, kampanye phishing Trickbot baru-baru ini ditemukan oleh Cofense Pusat Pertahanan Phishing menggunakan email yang mengklaim sebagai pemberitahuan pengiriman yang terlewat dari Kantor Pos AS, tetapi menyertakan tautan berbahaya, menurut laporan yang diterbitkan Kamis. Sementara itu, peneliti dari Avanan awal bulan ini menemukan gelombang baru peretas yang memalsukan DHL di email phishing yang bertujuan untuk menyebarkan “virus Trojan yang berbahaya” dengan memberi tahu korban bahwa kiriman telah tiba dan meminta mereka mengeklik lampiran untuk mengetahui detail selengkapnya.

Tertipu oleh Merek Tepercaya

Peneliti mengaitkan beberapa faktor di balik maraknya penipuan berkaitan dengan pengiriman paket. Memalsukan DHL tentu masuk akal pada kuartal keempat tahun lalu selama musim belanja liburan yang sibuk, kata Jeremey Fuchs, peneliti dan analis keamanan siber dari Avanan, dalam laporan tentang penipuan terkait DHL terbaru, yang diterbitkan Kamis. memanfaatkan ini, dengan melampirkan malware ke spoof DHL,” yang kemungkinan akan menarik perhatian penerima sebagian karena penggunaannya oleh perusahaan tepercaya, tulisnya dalam report.

Selain itu, keterlambatan pengiriman dan masalah rantai pasokan telah menjadi hal biasa selama pandemi, yang juga telah mendorong peningkatan besar-besaran pada orang yang bekerja dari jarak jauh dari rumah.

Menempelkan tautan faktur berbahaya ke pemberitahuan salah pengiriman USPS palsu, maka – seperti yang dilakukan pelaku ancaman dalam kampanye Trickbot yang baru ditemukan – akan menjadi daya tarik menarik bagi calon korban yang terbiasa menerima email jenis ini, menurut Cofense.

“Dengan penundaan rantai pasokan, menerima pemberitahuan bahwa pengiriman Upaya yang terlewatkan dapat menyebabkan frustrasi dan memikat penerima untuk membuka tautan faktur untuk menyelidiki lebih lanjut, ”tulis peneliti Cofense PDC Andy Mann dan Schyler Gallant dalam laporannya. email ke lebih dari 82.000 karyawan perusahaan menemukan bahwa penipuan email yang bertujuan untuk berbagi dokumen dengan, atau untuk melaporkan masalah layanan kepada, calon korban kemungkinan akan lebih berhasil ketika dokumen dikaitkan dengan merek tepercaya.

Ditipu Menjadi Trickbot

Dalam kedua pengiriman baru-baru ini kampanye terkait layanan, penyerang bertujuan untuk membuat penipuan tampak seotentik mungkin untuk meyakinkan pengguna agar melakukan tindakan lebih lanjut untuk mengunduh muatan berbahaya, kata para peneliti. logo media sosial dari Facebook, Instagram, LinkedIn dan Twitter, “untuk membuat email terlihat lebih sah,” re tulis para pencari.

Namun, email tersebut menyertakan alamat pengirim yang sama sekali tidak terkait dengan USPS, yang dengan mudah dapat memperingatkan seseorang tentang niat liciknya, kata mereka. ke domain, hxxps://www.zozter[.]com/tracking/tracking[.]php, yang mengunduh file ZIP. File yang tidak di-zip adalah spreadsheet XMLSM bernama “USPS_invoice_EA19788988US.xlsm” yang konon memerlukan pengeditan karena perlindungan dokumen – taktik yang sering digunakan dalam kampanye email berbahaya. akhirnya mengunduh Trickbot. Trojan perbankan pertama kali ditemukan pada tahun 2016 tetapi telah berkembang menjadi salah satu alat yang paling banyak digunakan untuk aktivitas kejahatan dunia maya, penuh dengan kemampuan jahat.

Duping dengan DHL

Serangan spoofing DHL juga mencakup apa yang ingin diyakini oleh pelaku ancaman sebagai dokumen pengiriman, tetapi ini waktu dalam bentuk lampiran, Fuchs Avanan menjelaskan dalam laporannya.

“Dengan memalsukan merek populer, peretas berharap untuk menargetkan pengguna rentan yang terbiasa memeriksa pemberitahuan pengiriman,” tulisnya.

Namun, lampiran itu sendiri tidak tidak menyertakan file dokumen. Sebaliknya, itu malah mengarahkan penerima ke halaman web pengambilan kredensial, Fuchs menjelaskan. Mengklik file juga menginstal trojan yang tidak ditentukan yang juga dapat mengangkat data sensitif lainnya dan akhirnya mengambil alih komputer korban “untuk menyebarkan lebih banyak serangan ke jaringan Anda,” tulisnya.

Fuchs mengatakan serangan itu berasal dari serangan sebelumnya yang diamati oleh Check Arahkan yang memalsukan FedEx dengan cara yang sama untuk mengirimkan malware Snake Keylogger.