CERT-SE har fått information angående en nätfiskekampanj som använder Postnord som avsändare.

Vi vill varna för att det just nu pågår en nätfiskekampanj med bluffmejl som sprider ransomware via en länk för ej levererade paket.

Länken leder till en fejkad webbsida som liknar Postnords och där finns en zip-fil innehållande ett javascript som sin tur laddar ner ransomware.

Användaren utpressas sedan till att betala för att få tillbaka de krypterade filerna.

Exempel

Ämnesrad i bluffmejlen:
"Spåra packet" [sic]
"Försändelse-id:"
"Spåra pall"
"Utdelning av post: Spåra pall"
"Avisering: Försändelse-id:"
"Avisering och leverans: Spåra brev"
"Utdelning av post: Försändelse-id:"
"Spåra brev"

Exempel på domäner som använts:
"postnord-server.net"
"postnordtracking.com"
"postnordtracking-server.net"
"pordentro.net"
"skripa-net.com"
"tactiva.co"
"xn--26-6kcai1bl4cbs.xn--p1ai"

Mejladresser som använts:
"ryan@viropowered.co.uk"
"postnord-sverige@oil-delta.com"
"alexandre@dnbrindes.com.br"
"mariovelazquez@vera.com.uy"
"nsastat@yebo.co.za"

Filnamn javascript-filen i zip-arkivet som laddar ner ransomware:
POSTNORD_1755.js
pacchetto_39728.js
TurkishCargo_Adres.js

OBS!

CERT-SE tar gärna mot phishingmejl där mottagaren uppmanas klicka på en länk.
Vidaresänd mejlen till phishing@cert.se