“Your shipment has arrived” email hides remote access software

Un proveedor alemán recibió un correo suplantando a DHL cuyo PDF adjunto descarga un instalador .scr (AWB-Doc0921.scr) alojado en longhungphatlogistics.vn; el ejecutable es un instalador SimpleHelp modificado que otorga acceso remoto persistente y puede facilitar robo de credenciales, movimiento lateral e instalación de más malware. El informe describe la técnica (uso de software legítimo firmado y archivos .scr para evadir detecciones), proporciona IOCs y recomienda medidas como evitar adjuntos no solicitados, activar MFA y usar antimalware actualizado.