Phishing-Betrügereien, die US-Steuerzahler mit Remote-Access-Malware ins Visier nehmen

Die USA befinden sich derzeit am Ende ihrer jährlichen Steuerzeit; Buchhalter sammeln die Steuerunterlagen der Kunden, um die Akten für die Steuererklärungen abzuschließen.

Nun, das macht es zur perfekten Zeit für die Bedrohungsakteure, die Steuerzahler ins Visier zu nehmen, in der Hoffnung, dass sie die bösartigen Dateien öffnen, mit denen sie normalerweise vorsichtiger umgehen würden, wenn sie weniger beschäftigt sind.

Damit gesagt, hat Microsoft Warnungen vor dem Phishing-Angriff herausgegeben, der Steuerzahler und Buchhaltungsunternehmen mit Remote Access-Malware ins Visier nimmt, die es Bedrohungsakteuren ermöglicht, ersten Zugang zum Unternehmensnetzwerk zu erhalten.

Da der Tag der Steuerabgabe in den USA näher rückt, hat Microsoft Warnungen herausgegeben, und das Unternehmen erwähnt in seinem neuesten Bericht, dass es die Rückkehr der Phishing-Angriffe beobachtet hat, die auf Steuerunternehmen und Steuerzahler abzielen, um den Ramcos Remote Access Trojan (RAT) zu liefern, der Unternehmensnetzwerke infiziert und diesen Februar begann.

Lesen: Checkpoint-Sicherheitsforscher entdecken schnelle Ransomware ‘Rorschach’ mit einzigartigen Funktionen

Jetzt zum Phishing-Angriff; die Aktivität beginnt mit E-Mails, die sich als von Kunden ausgeben, die die erforderlichen Dateien zur Vervollständigung der Steuererklärung gesendet haben. Eine Phishing-E-Mail, die Microsoft gesehen hat, lautet: “ Ich entschuldige mich, dass ich nicht früher geantwortet habe; unsere individuelle Steuererklärung sollte einfach sein und nicht viel Ihrer Zeit in Anspruch nehmen. ”

“ Ich glaube, Sie benötigen eine Kopie unserer Unterlagen des letzten Jahres, wie W-2s, 1099s, Zinsen, Hypotheken, Spenden, HSAs, medizinische Investitionen und mehr, die ich unten hochgeladen habe ”.

Diese Phishing-E-Mails enthalten Links, auf die Benutzer klicken, um Tracking-Dienste zu umgehen, um nicht von der Sicherheitssoftware erkannt zu werden, und führen schließlich zu einer Datei-Hosting-Website, die eine ZIP-Datei herunterlädt.

Das ZIP-Archiv enthält eine Reihe von Dateien, die sich als PDF-Dateien für verschiedene Steuerformulare tarnen, obwohl es sich um Windows-Verknüpfungen handelt.

Wenn das Ziel sie doppelt anklickt, führt die Windows-Verknüpfung ein PowerShell-Skript aus, eine stark obfuskiertes VBS-Datei von einem Remote-Host, die dann in C:\Windows\Tasks gespeichert und ausgeführt wird, während gleichzeitig die VBS-Datei eine täuschende PDF-Datei herunterlädt, um sie in Microsoft Edge zu öffnen, um Verdacht bei der betroffenen Person zu vermeiden.

Laut Microsoft wird die VBS-Datei die Guloader-Malware herunterladen und installieren, die den Ramcos Remote Access Trojan installiert. Nun, der Ramcos Remote Trojan ist ein Trojaner, den Bedrohungsakteure häufig in Phishing-Angriffen verwenden, um ersten Zugang zu erhalten.

Nach dem Zugang verbreiten sich die Bedrohungsakteure weiter durch das Netzwerk, um Daten zu stehlen und andere Malware auf dem Gerät zu installieren. Microsoft sagt, dass diese Phishing-Aktivitäten im Allgemeinen steuerbezogene Themen verwenden, obwohl ungewöhnlicherweise diese Kampagne nur Einzelpersonen und Steuerfirmen ins Visier nimmt.

Der ursprüngliche Loader für diese Aktivität sind bösartige Dateien, die sich als PDF-Dateien ausgeben, daher wird immer empfohlen, die Dateierweiterung anzuzeigen. Leider sind Windows-Verknüpfungen der spezielle Dateityp, der die Link-Dateierweiterung verwendet, aber die Dateierweiterung nicht anzeigt.

Das macht es schwierig, die Dateien zu erkennen. Eine Verknüpfung ist ein Verkleidung, die schwieriger zu erkennen ist. Allerdings zeigt das Auflisten von Dateien im Datei-Explorer in den Details die Windows-Verknüpfung an, was die Erkennung erleichtert.

Lesen: Angreifer senden IRS-Phishing-E-Mails, um Emotett-Malware zu installieren