Phishing i malspam kampanje su u punom jeku oko novogodišnjih praznika. Trenutno je aktuelna kampanja koja je usmerana na korisnike koji kupuju preko Amazona. U pitanju su lažne poruke o potvrdi porudžbine u kojima se nalazi bankarski trojanac Emotet.
Email poruke sa lažnim potvrdama porudžbine izgledaju veoma uverljivo i imaju jedan od sledećih naslova: "Your Amazon.com order", "Amazon order details" i "Your order 162-2672000-0034071 has shipped". U poruci se navodi da je poručeni proizvod otpremljen, ali nema detalja o tome koji je proizvod u pitanju niti informacija za praćenje pošiljke. Zatim se korisnik navodi da klikne na detalje porudžbine (Order Details) kako bi video više informacija:
Slika 1. Lažna potvrda porudžbine sa Amazona. Izvor slike: Bleeping Computer.
Klikom na detalje porudžbine, preuzima se Word dokument pod imenom order_details.doc. Otvaranjem dokumenta, od korisnika se traži da omogući sadržaj (Enable content) kako bi mu se informacije ispravno prikazale.
Slika 2. Maliciozni Word dokument. Izvor slike: Bleeping Computer.
Ukoliko korisnik klikne na Enable content, aktivira se maliciozni macro koji izvršava PowerShell komandu koja downloaduje i izvršava Emotet bankarskog trojanca na računaru žrtve. U ovom slučaju, ime trojanca je mergedboost.exe, ali nakon testiranja videlo se da je u pitanju Emotet koji se preuzima kao Keyandsymbol.exe.
Slika 3. Fiddler saobraćaj koji pokazuje da se preuzima Emotet. Izvor slike: Bleeping Computer.
Trojanac sada u pozadini pritajeno snima sve što korisnik otkuca na tastaturi, prikuplja informacije o bankovnim nalozima i obavlja druge neželjene aktivnosti na računaru žrtve. Za kampanju se koriste kompromitovani serveri iz Kolumbije, Indonezije i SAD-a. Otkriveno je da se sa servera iz Kolumbije šalje phishing email sa linkom ka serveru u Indoneziji koji preuzima malver i koji zatim kontaktira servere u SAD-u.
S obzirom da je prevara uverljiva i da korisnici koji ne paze dovoljno mogu lako da nasednu, važno je da proverite ko je pravi pošiljalac emaila pre nego što otvorite bilo koji dokument ili kliknete na bilo koji link. Ovo posebno važi za period oko praznika kada ljudi više kupuju online i primaju više poruka od različitih prodavaca.
Preporuka koje se uvek treba pridržavati kod online kupovine je sledeća: Ukoliko dobijete email koji vam je i najmanje sumnjiv, izbrišite ga! Uvek imate opciju da se ulogujete na sajt na kome ste kupovali i da tamo vidite status svoje pošiljke. U ovom konkretnom slučaju, iako je sama poruka uverljiva, pregledom adrese može se zaključiti da stvari nisu čiste. Zato je važno da uvek proverite adresu pošiljaoca.
Izvor: Bleeping Computer