Una nuova campagna malevola sta sfruttando il nome di note società di logistica per convincere gli utenti ad aprire email apparentemente innocue. Il pretesto è quello di un pacco in consegna o da ritirare, ma dietro l’avviso si nasconde un tentativo di installare un software per l’accesso remoto sul computer della vittima. Secondo quanto rilevato dagli esperti di Malwarebytes, il metodo non è sofisticato, ma resta efficace perché fa leva su un meccanismo familiare e urgente: la comunicazione sulla consegna di un pacco. In questo caso, il bersaglio riceve un messaggio che sembra provenire da DHL e viene invitato a consultare un presunto documento PDF con i dettagli del ritiro.
Falso avviso DHL e malware via email
L’email analizzata dai ricercatori è arrivata a un fornitore di ricambi e attrezzature industriali e imitava in modo credibile la grafica e il tono di una notifica di spedizione. Nel testo si parlava di un pacco disponibile presso un punto di consegna, mentre in allegato era presente una ricevuta in PDF da aprire o stampare.
Alcuni segnali avrebbero potuto insospettire l’utente più attento: l’indirizzo del mittente non era coerente con quello ufficiale, e alcune immagini del messaggio erano ospitate su un sito di terze parti. Il vero inganno, però, era nascosto nel file allegato. Una volta aperto, il PDF mostrava soltanto un’immagine sfocata con un pulsante “Continua” accanto al logo Microsoft.
Il click sul pulsante non avviava alcun download legittimo, ma faceva copiare sul computer un file SCR. Questo formato, usato normalmente per gli screensaver di Windows, è stato sfruttato in modo improprio per lanciare un componente malevolo. In questo caso, il file ha installato SimpleHelp, un tool di accesso remoto già noto anche per impieghi illeciti.
Come agisce SimpleHelp
Una volta attivo, SimpleHelp consente ai cybercriminali di prendere controllo del dispositivo e mantenere una connessione remota con la macchina infetta. Da quel momento possono raccogliere credenziali di accesso, esplorare la rete locale e preparare ulteriori attacchi. In alcuni casi, questi strumenti diventano il primo passo verso la distribuzione di ransomware o altri malware.
Il rischio è particolarmente elevato perché la presenza della backdoor può passare inosservata per molto tempo. Se l’utente non nota anomalie evidenti, gli attaccanti possono restare collegati a lungo e muoversi con calma all’interno dell’ambiente compromesso, aumentando il potenziale danno.
Come difendersi dal phishing dei corrieri
La prima difesa è la verifica del mittente: un’email che parla di spedizioni, ma arriva da un dominio insolito o presenta elementi grafici strani, va trattata con cautela. Bisogna anche diffidare dei pulsanti e dei link che promettono un documento ma portano a scaricare file eseguibili o formati inattesi. In caso di dubbio, è meglio controllare lo stato della spedizione direttamente dal sito ufficiale del corriere, senza passare dai collegamenti presenti nel messaggio.
Malwarebytes raccomanda inoltre di attivare l’autenticazione in due fattori su tutti gli account possibili: è una misura semplice che può limitare i danni anche se una password viene sottratta. In un contesto in cui i messaggi fraudolenti imitano sempre meglio le comunicazioni reali, mantenere alta l’attenzione resta uno degli strumenti più efficaci per evitare infezioni e accessi non autorizzati.
