Klanten van amazon.co.uk zijn het doelwit van scam e-mails met bijgevoegde kwaadaardige Microsoft Word-documenten. De berichten beweren dat gegevens bevat over het transport van een bestelling, met het pakket nummer in het onderwerpveld.
Meer dan 600 000 Kwaadaardige e-mails verzonden
De kwaadaardige activiteiten werd voor het eerst ontdekt door onderzoekers met AppRiver aan het einde van oktober. Het aantal kwaadaardige e-mails geïsoleerd door het bedrijf sindsdien is 600 000.
Naar verluidt een Word-document gehecht aan de zwendel e-mail die een kwaadaardige macro lancering opdrachten bevat voor het doorsluizen van een Trojan dropper in de beoogde machine er. Dit bepaalde men is een keylogger dat bankgegevens steelt, toegangsgegevens voor e-mails en sociale media profielen. Deze, natuurlijk, garandeert niet dat de criminelen niet zal gebruiken in een ander type aanval in de toekomst.
Macro - Een stukje VBA code die gemakkelijk kunnen worden geïntegreerd in Office, zodat gebruikers hun dagelijkse taken kunnen automatiseren. Deze functie wordt vaak misbruikt door cyber oplichters, door het toevoegen van commando's voor het downloaden van verschillende malware te.
Vanwege de risico's, macro's zijn uitgeschakeld in Office component standaard. Dus, zodat de uit te voeren opdrachten, moet de gebruiker opzettelijk inschakelen van de steun voor macro.
De Crooks Achter de Campagne
AppRiver experts blijkt dat een andere partij is gericht op gebruikers van amazon.co.uk. 160 000 kwaadwillige e-mails zijn er tot nu toe gevangen. De analisten hebben gemerkt een paar verschillen in het onderwerp en de inhoud van de e-mail, evenals in de injectie benadering, maar het uiteindelijke doel is nog steeds hetzelfde - om de beoogde computer te infecteren met malware.
Om de zwendel te maken lijken meer geloofwaardig, de boeven hebben een paar heel precieze accenten toegevoegd:
- Amazon graphics worden in het bericht geplaatst.
- Het onderwerp veld bevat een orderbevestiging.
In dit geval is de scam e-mails niet kwaadaardig bestand bijgevoegd. Wat ze bevatten zijn links naar gecompromitteerde WordPress websites. Als het slachtoffer op de link klikt, het downloaden van een bestand met de naam invoice1104.pdf(stip)scr geactiveerd. Het programma staat niet veranderd - het is nog steeds een Trojan dropper.
De SCR extensie op een Word-document is een rode vlag op zijn eigen. Gebruikers wordt geadviseerd om extra voorzichtig te zijn met de aankoop verbonden e-mails in het winkelcentrum seizoen als hackers gebruiken ze vaak als dekmantel voor hun kwaadaardige campagnes.
