Escroqueries de phishing ciblant les contribuables américains avec des logiciels malveillants d'accès à distance

Les États-Unis sont actuellement à la fin de sa période de taxation annuelle ; les comptables rassemblent les documents fiscaux des clients pour terminer les dossiers des déclarations fiscales.

Eh bien, cela en fait le moment parfait pour que les acteurs de la menace ciblent les contribuables, dans l’espoir qu’ils ouvrent les fichiers malveillants avec lesquels ils pourraient normalement être plus prudents lorsqu’ils sont moins occupés.

Cela dit, Microsoft a diffusé des avertissements concernant l’attaque de phishing, qui cible les contribuables et les entreprises de comptabilité avec des logiciels malveillants d’accès à distance qui permettent aux acteurs de la menace d’obtenir un accès initial au réseau d’entreprise.

À l’approche du jour de soumission des impôts aux États-Unis, Microsoft a diffusé des avertissements, et la société, dans son dernier rapport, mentionne qu’elle a observé le retour des attaques de phishing ciblant les entreprises fiscales et les contribuables pour livrer le Trojan d’accès à distance Ramcos (RAT) qui infecte les réseaux d’entreprise et qui a commencé en février dernier.

Lire : Des chercheurs en sécurité de Checkpoint découvrent un ransomware rapide ‘Rorschach’ avec des fonctionnalités uniques

Passons maintenant à l’attaque de phishing ; l’activité commence par des e-mails qui prétendent provenir de clients ayant envoyé les fichiers requis pour compléter la déclaration fiscale. Un e-mail de phishing que Microsoft a vu dit : “ Je m’excuse de ne pas avoir répondu plus tôt ; notre déclaration de revenus individuelle devrait être simple et ne pas nécessiter beaucoup de votre temps. ”

“ Je crois que vous auriez besoin d’une copie de nos documents de l’année la plus récente tels que W-2, 1099, intérêts, hypothèques, dons, HSA, investissements médicaux, et plus que j’ai téléchargés ci-dessous ”.

Ces e-mails de phishing contiennent des liens que les utilisateurs cliquent pour des services de suivi afin d’échapper à la détection par les logiciels de sécurité et mènent finalement à un site d’hébergement de fichiers qui télécharge un fichier ZIP.

L’archive Zip contient un certain nombre de fichiers qui se déguisent en fichiers PDF pour divers forums fiscaux bien qu’ils soient des raccourcis Windows.

Lorsque la cible double-clique dessus, le raccourci Windows exécutera un PowerShell, un fichier VBS fortement obfusqué depuis un hôte distant, qui est ensuite enregistré dans C:\Windows\Tasks et exécuté, et simultanément le fichier VBS téléchargera un fichier PDF leurre à ouvrir dans Microsoft Edge pour éviter de susciter des soupçons chez la personne ciblée.

Selon Microsoft, le fichier VBS téléchargera et exécutera le malware Guloader, installant le Trojan d’accès à distance Ramcos. Eh bien, le Trojan Ramcos est un cheval de Troie que les acteurs de la menace utilisent couramment dans les attaques de phishing pour obtenir un accès initial.

Après avoir obtenu l’accès, les attaquants de la menace se propagent davantage à travers le réseau pour voler des données et installer d’autres malwares sur l’appareil. Microsoft indique que ces activités de phishing utilisent généralement des thèmes liés aux impôts, bien que de manière inhabituelle, cette campagne cible uniquement les particuliers et les entreprises fiscales.

Le chargeur initial pour cette activité est des fichiers malveillants qui imitent des fichiers PDF, donc un affichage de l’extension de fichier est toujours recommandé. Malheureusement, les raccourcis Windows sont le type de fichier spécial qui utilise l’extension de fichier de lien mais ne montre pas l’extension de fichier.

C’est ce qui rend difficile la détection des fichiers. Un raccourci est un déguisement qui est plus difficile. Cependant, l’affichage des fichiers dans l’Explorateur de fichiers en Détails montrera le Raccourci Windows, ce qui facilite la détection.

Lire : Des attaquants envoient des e-mails de phishing de l’IRS pour installer le malware Emotett