Truffe di Phishing che Prendono di Mira i Contribuenti Statunitensi con Malware di Accesso Remoto

Gli Stati Uniti si trovano attualmente alla fine del loro periodo annuale di tassazione; i commercialisti stanno raccogliendo i documenti fiscali dei clienti per completare i file per le dichiarazioni dei redditi.

Bene, questo rende il momento perfetto per gli attori della minaccia per prendere di mira i contribuenti, nella speranza che aprano i file malevoli di cui normalmente sarebbero più cauti quando sono meno occupati.

Detto ciò, Microsoft ha emesso avvisi riguardo all’attacco di phishing, che prende di mira i contribuenti e le aziende di contabilità con malware di Accesso Remoto che consente agli attori della minaccia di ottenere accesso iniziale alla rete aziendale.

Con l’avvicinarsi della scadenza per la presentazione delle tasse negli Stati Uniti, Microsoft ha continuato a emettere avvisi, e la società, nel suo ultimo rapporto, menziona di aver osservato il ritorno degli attacchi di phishing che prendono di mira le aziende fiscali e i contribuenti per consegnare il Trojan di Accesso Remoto Ramcos (RAT) che infetta le reti aziendali e che è iniziato lo scorso febbraio.

Leggi: I Ricercatori di Sicurezza di Checkpoint Scoprono il Ransomware Veloce ‘Rorschach’ con Caratteristiche Uniche

Ora passiamo all’attacco di Phishing; l’attività inizia con email che si spacciano per provenire da clienti che hanno inviato i file richiesti per completare la dichiarazione dei redditi. Un’email di phishing che Microsoft ha visto recita: “ Mi scuso per non aver risposto prima; la nostra dichiarazione dei redditi individuale dovrebbe essere semplice e non richiedere molto del tuo tempo. ”

“ Credo che tu abbia bisogno di una copia dei documenti del nostro anno più recente come W-2, 1099, interessi, mutui, donazioni, HSA, investimenti medici e altro che ho caricato qui sotto ”.

Queste email di phishing contengono link che gli utenti cliccano per servizi di tracciamento per sfuggire alla rilevazione da parte del software di sicurezza e infine portano a un sito di hosting di file che scarica un file ZIP.

L’archivio Zip contiene un numero di file che si spacciano per file PDF per vari forum fiscali anche se sono collegamenti Windows.

Quando il bersaglio fa doppio clic su di essi, il collegamento Windows eseguirà un PowerShell, un file VBS pesantemente offuscato da un host remoto, che viene quindi salvato in C:\Windows\Tasks ed eseguito, e contemporaneamente il file VBS scaricherà un file PDF di inganno da aprire in Microsoft Edge per evitare di suscitare sospetti da parte della persona presa di mira.

Secondo Microsoft, il file VBS scaricherà ed eseguirà il malware Guloader, installando il Trojan di Accesso Remoto Ramcos. Bene, il Trojan Ramcos è un trojan che gli attori della minaccia usano comunemente negli attacchi di phishing per ottenere accesso iniziale.

Una volta ottenuto l’accesso, gli attaccanti della minaccia si diffondono ulteriormente attraverso la rete per rubare dati e installare altro malware sul dispositivo. Microsoft afferma che queste attività di phishing utilizzano generalmente temi legati alle tasse, sebbene in modo insolito, questa campagna prenda di mira solo individui e aziende fiscali.

Il caricatore iniziale per questa attività è costituito da file malevoli che si spacciano per file PDF, quindi è sempre consigliato visualizzare l’estensione del file. Sfortunatamente, i collegamenti Windows sono un tipo di file speciale che utilizza l’estensione del file di collegamento ma non mostra l’estensione del file.

Questo rende difficile rilevare i file. Un collegamento è un travestimento che è più difficile. Tuttavia, elencare i file in Esplora File nei Dettagli mostrerà il Collegamento di Windows, rendendo più facile la rilevazione.

Leggi: Gli Attaccanti Inviando Email di Phishing all’IRS per Installare il Malware Emotett