Gli esperti di Malwarebytes hanno rilevato una nuova campagna malware che sfrutta note società di logistica per ingannare gli utenti. Il trucco è vecchio, ma ancora molto efficace. I cybercriminali inviano via email un avviso di consegna per un pacco con un allegato infetto. Lo scopo è installare un tool di accesso remoto sul computer.
Attenzione all’avviso fasullo di DHL
I ricercatori di Malwarebytes hanno analizzato l’email ricevuta da un fornitore di ricambi e attrezzature industriali che sembrava provenire da DHL. Nell’avviso era scritto che il pacco poteva essere ritirato nel punto di consegna. In allegato c’era la ricevuta in PDF che poteva essere stampata. Questo e altri indizi (indirizzo email del mittente e immagini ospitate su un sito di terze parti) potevano destare sospetti.
Il documento PDF in allegato era solo un’immagine sfocata con un pulsante “Continua” affiancato dal logo Microsoft. Il destinatario doveva cliccare sul pulsante per scaricare la ricevuta. In realtà veniva copiato sul computer un file SCR, formato usato per installare gli screensaver su Windows. In questo caso è stato installato SimpleHelp, un tool di accesso remoto sfruttato anche per attività illecite.
I cybercriminali ottengono così accesso al computer della vittima. La backdoor viene successivamente utilizzata per rubare credenziali di login, effettuare la scansione della rete locale e distribuire malware, ransomware inclusi. La “porta” di collegamento con il server remoto può rimanere aperta a lungo, se l’utente non si accorge di nulla.
Gli esperti di Malwarebytes suggeriscono di verificare attentamente il mittente delle email e ovviamente di non cliccare su link o pulsanti che scaricano file diversi da quelli promessi (in questo caso un eseguibile invece del documento PDF). Come prevenzione è consigliata l’attivazione dell’autenticazione in due fattori per tutti gli account.
Ti potrebbe interessare
19 apr 2026