En anden phishing kampagne er blevet opdaget af Heimdal forskere, drage fordel af Delta Air og downloade Hancitor malware. Den potentielle offer modtager en e-mail forklædt som en bekræftelse betaling e-mail fra firmaet.
Din ordre med Delta Air Lines er blevet bekræftet phishing-svindel
Som forklaret af forskerne, ved hjælp af et luftfartsselskab til maskerade ondsindede hensigter er ikke tilfældig, da mange flyselskaber tilbyder rabat satser til sommer flyvninger på denne tid af året. Hvis du har modtaget en e-mail med et emnelinjen ”Din ordre [numre] med Delta Air Lines er blevet bekræftet!”Uden at have foretaget en reservation, Fortsæt med forsigtighed!
Her er, hvad spam e-mail med malware ligner:
Som med alle phishing e-mail, en omhyggelig øje ville straks få øje på flere unøjagtigheder, der peger på den unauthentic oprindelse af meddelelsen:
- Først og fremmest, e-mail-adresse er ikke legitimt og hører ikke til den nævnte virksomhed. Hvis det var virksomhedens e-mail, det burde være endt med ”@ delta.com” ikke ”@deltaa”.
- Ingen specifikke oplysninger om flyvningen er givet. Hvis dette var virkelig en bekræftelsesmail, det burde have indeholdt oplysninger om den reserverede flyvning, og bruger den manglende information til at lokke brugeren til at klikke på forudsat link.
- Den visuelle format af e-mailen ikke svarer til Deltas sædvanlige e-mails. Hvis du er kunde hos selskabet, bør du helt sikkert finde denne unøjagtighed mistænkelig.
For at sammenligne de to e-mails og se forskellene for dig selv, her er hvad en legitim e-mail fra firmaet ligner:
Mere om Delta Air Phishing kampagne
Hancitor Malware og Zloader downloadet på Kompromitterede Systems
E-mailen s tydeligvis skabt til at skræmme brugeren til at tro, at en person har brugt deres legitimationsoplysninger og identitet til at købe en flybillet. Brugeren vil typisk gå i panik og ville interagere med de medfølgende links, som faktisk er en meget dårlig idé. De links vil omdirigere brugeren til inficerede hjemmesider, som vært Microsoft Word-dokumenter, der indeholder Hancitor malware. Hancitor er et alsidigt stykke skadelig kode, som ofte anvendes i phishing-angreb.
Den malware anvendes typisk som en bro for at muliggøre fremtidige angreb på kompromitteret system. Det betyder, at mere malware er ved at blive hentet på computeren.
Relaterede: Microsoft og Googles skyinfrastruktur misbrugt af hackere i phishing-e-mails
Når brugeren downloader Hancitor via ondsindede Word-dokument malware vil blive aktiveret. Som et resultat, legitime system processer vil blive smittet via et PowerShell kode. Derefter, det inficerede system vil være forbundet til en eller flere Kommando og Kontrol servere.
Endelig, yderligere malware af Pony malware familie vil blive downloadet.
Som vi tidligere har skrevet, Pony blev først indført i cyber verden år siden. Den berygtede oplysninger stjæler er blevet brugt til at sprede Zeus og Necurs Trojans, samt Cryptolocker og Cribit ransomware.
Mere specifikt, denne phishingangreb bruger Zloader, som er en Pony-baseret malware. Zloader er en bank malware rettet mod ofrenes bankkonti.