amazon.co.ukの顧客は、悪意のあるMicrosoftWord文書が添付された詐欺メールの標的にされています. メッセージには、注文の輸送に関する詳細が含まれていると主張しています, 件名フィールドにパッケージ番号が含まれている.
以上 600 000 悪意のあるメールが送信されました
悪意のある活動は、10月末にAppRiverの研究者によって最初に検出されました. それ以来、会社によって隔離された悪意のある電子メールの数は 600 000.
伝えられるところによると、詐欺メールに添付されたWord文書には、標的のマシンにトロイの木馬ドロッパーを送り込むための悪意のあるマクロ起動コマンドが含まれています。. この特定のものは、銀行の資格情報を盗むキーロガーです, メールサービスとソーシャルメディアプロファイルのログイン情報. これ, もちろん, 犯罪者が将来別の種類の攻撃でそれを使用しないことを保証するものではありません.
マクロ– Officeに簡単に統合できるVBAコードの一部であるため、ユーザーは日常のタスクを自動化できます. この機能は、サイバー詐欺師によって誤用されることがよくあります, さまざまなマルウェアをダウンロードするためのコマンドを追加する.
関係するリスクのため, Officeコンポーネントでは、マクロはデフォルトで無効になっています. そう, コマンドを実行するために, ユーザーは意図的にマクロのサポートをオンにする必要があります.
キャンペーンの背後にいる詐欺師
AppRiverの専門家は、別の当事者がamazon.co.ukのユーザーをターゲットにしていることを明らかにしました. 160 000 これまでに悪意のある電子メールが検出されました. アナリストは、電子メールの件名と内容にいくつかの違いがあることに気づきました。, 注射アプローチと同様に, ただし、最終的な目的は同じです。対象のコンピューターをマルウェアに感染させることです。.
詐欺をより信頼できるように見せるため, 詐欺師はいくつかの非常に正確なタッチを追加しました:
- Amazonグラフィックがメッセージ本文に挿入されます.
- 件名フィールドには注文確認が含まれます.
この場合、詐欺メールには悪意のあるファイルが添付されていません. それらに含まれているのは、侵害されたWordPressサイトへのリンクです. 被害者がリンクをクリックすると, invoice1104.pdfという名前のファイルのダウンロード(ドット)scrがアクティブになります. 実行可能ファイルは変更されません–それはまだトロイの木馬ドロッパーです.
Word文書のSCR拡張機能は、それ自体が危険信号です。. ハッカーは悪意のあるキャンペーンのカバーとして使用することが多いため、ユーザーはショッピングシーズンの購入関連の電子メールに特に注意することをお勧めします。.
