یک کمپین فیشینگ از DHL، تحت عنوان "اطلاعیه DHL" در چند روز گذشته، کاربرانی را در سراسر جهان هدف قرارداده و در حال توزیع بدافزار Muncy است.
مهاجمان با استفاده از تنظیمات نادرست سرورها از سرورهای SMTP استفاده می‌کنند.
تکنیک جعل ایمیل برای جعل هویت DHL، یک شرکت حمل و نقل محبوب، استفاده می‌شود و یک اعلان حمل و نقل به صندوق پست الکترونیک کاربر ارسال می‌کند، از این ایمیل برای ارسال ایمیل‌های اعلان استفاده می‌شود:
 <support@dhl [.]com>
این روش، تکنیک جدیدی نیست و بسیاری از وب‌سرورهای موجود در اینترنت از پیکربندی امنیتی مناسب برای جلوگیری از این حملات برخوردار نیستند. کاربرانی که ایمیل را دریافت می‌کنند باید ضمیمه‌های مخرب را از حالت فشرده خارج کنند. بدافزار یک فایل exe.  است که رایانه‌های کاربران را اسکن کرده و اطلاعاتی شامل داده‌های FTP را جمع‌آوری می‌کند.
بدافزار بسته‌بندی شده و بعد از اجرای اولیه، فرآیندی جدید ایجاد و اجرا می‌شود. این فرآیند اسکن گسترده‌ای در درایو C کاربران انجام داده و اطلاعات حساس را جمع‌آوری کرده و به دامنه‌ای که توسط کلاهبرداران اداره می‌شود ارسال می‌کند.
بدنه ایمیل یک پیام متنی ساده نیست، بلکه، یک تصویر PNG درون آن تعبیه شده‌است. امکان مشاهده موارد الصاقی ایمیل از مسیر محلی"C: /Users/Administrator/Desktop/DHL.png" وجود دارد.
هم‌اکنون بدافزار Muncy یکی از فعالترین تروجان‌ها است.

نشانه‌های آلودگی (IoC):
هش:
•    ۷eb۳۸ece۸۹e۹۰۳d۲۹۸d۷cf۰۳b۳aec۶۹d
•    ۴df۶d۰۹۷۶۷۱e۰f۱۲b۷۴e۸db۰۸۰b۶۶۵۱۹

سرور C&C:
•    http://sameerd.net/group۲/panelnew/gate.php
•    ۱۵۷,۲۳۰.۴۱.۲۴۹

منبع :
http://securityaffairs.co/wordpress/۸۱۳۷۳/malware/muncy-malware-phishing.html