Arnaque par e-mail : Votre commande est en route

Les courriels inattendus concernant des achats, des livraisons ou l'activité de votre compte doivent toujours être abordés avec prudence. Les cybercriminels dissimulent fréquemment des messages malveillants sous l'apparence de communications commerciales légitimes afin d'inciter les destinataires à agir sans vérification. La campagne de courriels « Votre commande est en route » en est un exemple. Une analyse approfondie a confirmé que ces courriels sont des spams malveillants et ne sont liés à aucune entreprise, transporteur, détaillant ou organisation légitime.

Fausses notifications d’expédition conçues pour créer un sentiment d’urgence

Les courriels « Votre commande est en route » sont conçus pour ressembler à de véritables notifications d'expédition. Ils comportent généralement dans leur objet des numéros de commande et des codes de référence afin de leur donner un aspect crédible et professionnel.

Les destinataires sont informés que leur colis aurait été expédié et sont invités à cliquer sur un bouton « Voir les détails d'expédition » pour accéder aux informations de suivi et aux mises à jour de livraison. La formulation est intentionnellement conçue pour susciter la curiosité et un sentiment d'urgence, augmentant ainsi la probabilité que les destinataires cliquent sur le lien fourni sans examiner attentivement le message.

En réalité, ces courriels ne concernent aucun achat ni envoi réel. Leur seul but est de rediriger les destinataires vers un site web malveillant conçu pour infecter les systèmes avec un logiciel malveillant.

Le site web malveillant à l’origine de l’escroquerie

Cliquer sur le lien intégré redirige les utilisateurs vers une page frauduleuse hébergée sur increminder.com. Le site est conçu pour ressembler à un portail de gestion de commandes ou d'expédition, renforçant ainsi l'illusion de légitimité.

La page web indique que les informations d'expédition ont été traitées et que les détails de la commande sont disponibles au téléchargement. Elle avertit également que le fichier téléchargé pourrait être nécessaire pour recevoir le colis, une manœuvre psychologique visant à inciter les visiteurs à procéder au téléchargement.

Au lieu de fournir des informations de suivi ou des documents de commande, le site délivre un fichier malveillant nommé « ScreenConnect.ClientSetup.msi ». Ce fichier est présenté comme un programme d'installation Windows normal, mais contient en réalité une version infectée par un cheval de Troie de ScreenConnect.

Les logiciels d’accès à distance infectés par un cheval de Troie présentent des risques sérieux.

ScreenConnect est un logiciel de bureau à distance légitime développé par ConnectWise et couramment utilisé par les professionnels du support informatique pour l'assistance à distance et la gestion des systèmes. Cependant, les cybercriminels détournent fréquemment ces outils en les modifiant et en distribuant des versions malveillantes capables de permettre un accès à distance non autorisé aux appareils des victimes.

Une fois le programme d'installation malveillant exécuté, l'outil d'accès à distance peut fonctionner silencieusement en arrière-plan sans être détecté. Les attaquants peuvent alors obtenir un contrôle étendu sur le système compromis et mener diverses activités malveillantes, notamment :

• Vol de fichiers confidentiels et d'identifiants stockés
• Surveillance de l'activité des utilisateurs et collecte d'informations sensibles
• Installation de logiciels malveillants supplémentaires tels que des rançongiciels ou des logiciels espions
• Effectuer des transactions frauduleuses ou abuser des comptes en ligne

Étant donné que le logiciel malveillant permet un accès distant persistant, les systèmes affectés doivent être considérés comme totalement compromis.

Comment les campagnes de spam malveillant diffusent des logiciels malveillants

Les campagnes de spam diffusent fréquemment des logiciels malveillants, soit par le biais de pièces jointes infectées, soit par des liens menant à des sites web dangereux. Dans de nombreux cas, les fichiers sont dissimulés sous forme de factures, de reçus, de documents d'expédition ou de relevés de compte afin d'inciter les destinataires à les ouvrir sans méfiance.

Dans cette campagne, les attaquants utilisent un lien malveillant plutôt qu'une pièce jointe directe. Les destinataires qui cliquent sur ce lien sont redirigés vers un faux portail de commande, où ils sont incités à télécharger le fichier d'installation infecté. Une fois lancé, le logiciel malveillant établit un accès à distance tout en restant largement invisible pour la victime.

Cette méthode permet aux attaquants de contourner certains filtres de sécurité des courriels, car la charge utile malveillante est hébergée en externe plutôt que d'être jointe directement au courriel.

Mesures immédiates pour les utilisateurs concernés

Toute personne ayant téléchargé ou exécuté le programme d'installation « ScreenConnect.ClientSetup.msi » doit considérer qu'un accès non autorisé au système a pu se produire. Il est fortement recommandé d'agir immédiatement afin de minimiser les dommages potentiels.

Il convient de procéder sans délai à une analyse antivirus ou anti-malware complète et de modifier tous les mots de passe sensibles associés à l'appareil concerné depuis un système distinct et sécurisé. Les comptes bancaires, les comptes de messagerie et les identifiants professionnels doivent également être surveillés afin de détecter toute activité suspecte.

Le courriel malveillant doit être immédiatement supprimé et les destinataires doivent éviter de cliquer sur les liens ou de télécharger les fichiers associés au message.

Se protéger contre les arnaques liées à la livraison

Les campagnes d'hameçonnage et de logiciels malveillants ciblant la livraison restent très efficaces car elles exploitent les habitudes d'achat en ligne courantes et l'attente de mises à jour concernant les colis. Les attaquants comptent sur la réaction rapide des destinataires avant qu'ils n'évaluent soigneusement la légitimité du message.

Les utilisateurs peuvent limiter leur exposition à ces menaces en vérifiant les notifications d'expédition directement sur les sites web officiels des détaillants ou des transporteurs, en évitant de télécharger des fichiers provenant de courriels non sollicités et en se méfiant des alertes de livraison inattendues. Même les courriels d'apparence soignée et professionnelle peuvent dissimuler de graves failles de sécurité sous un marketing convaincant et un ton alarmiste.