米国納税者を狙ったフィッシング詐欺とリモートアクセスマルウェア

アメリカは現在、年次課税期間の終わりに差し掛かっています。会計士たちは、税務申告のためのファイルを完成させるために、クライアントの税務書類を集めています。

この時期は、脅威アクターが納税者を狙うのに最適なタイミングです。彼らは、通常はもっと注意深くなるはずの悪意のあるファイルを開くことを期待しています。

そのため、マイクロソフトは、納税者や会計会社を狙ったフィッシング攻撃の警告を発信しています。この攻撃は、脅威アクターが企業ネットワークに初期アクセスを得るためのリモートアクセスマルウェアを使用しています。

米国の税務提出日が近づくにつれ、マイクロソフトは警告を発信し続けており、最新の報告では、税務会社や納税者を狙ったフィッシング攻撃の復活を観察したと述べています。この攻撃は、今年の2月から始まったRamcosリモートアクセストロイの木馬（RAT）を配信しています。

読む: チェックポイントのセキュリティ研究者がユニークな機能を持つ高速ランサムウェア「Rorschach」を発見

さて、フィッシング攻撃についてですが、この活動は、税務申告を完了するために必要なファイルを送信したクライアントからのメールを装ったものから始まります。マイクロソフトが確認したフィッシングメールには、「 お返事が遅れて申し訳ありません。私たちの個人の税務申告は簡単で、あまり時間を必要としないはずです。 」と書かれています。

「 最近の年の書類のコピーが必要だと思います。W-2、1099、利息、住宅ローン、寄付、HSA、医療投資など、以下にアップロードしました。 」

これらのフィッシングメールには、ユーザーがクリックする追跡サービスへのリンクが含まれており、セキュリティソフトウェアに検出されるのを避け、最終的にはZIPファイルをダウンロードするファイルホスティングウェブサイトに誘導します。

ZIPアーカイブには、さまざまな税務フォーラムのPDFファイルを装った多数のファイルが含まれていますが、実際にはWindowsのショートカットです。

ターゲットがそれらをダブルクリックすると、WindowsのショートカットがPowerShellを実行し、リモートホストからの重度に難読化されたVBSファイルがC:\Windows\Tasksに保存され、実行されます。同時に、VBSファイルは、ターゲットの人による疑念を引き起こさないように、Microsoft Edgeで開くための偽のPDFファイルをダウンロードします。

マイクロソフトによると、VBSファイルはGuloaderマルウェアをダウンロードして実行し、Ramcosリモートアクセストロイの木馬をインストールします。Ramcosリモートトロイの木馬は、脅威アクターがフィッシング攻撃で初期アクセスを得るために一般的に使用するトロイの木馬です。

アクセスを得た後、脅威攻撃者はネットワークを通じてさらに広がり、データを盗んだり、デバイスに他のマルウェアをインストールしたりします。マイクロソフトは、これらのフィッシング活動は一般的に税務関連のテーマを使用しているが、異常にもこのキャンペーンは個人と税務会社のみを対象としていると述べています。

この活動の初期ローダーはPDFファイルを装った悪意のあるファイルであるため、ファイル拡張子の表示を常に推奨します。残念ながら、Windowsのショートカットはリンクファイル拡張子を使用する特別なファイルタイプですが、ファイル拡張子は表示されません。

これがファイルを検出するのを難しくする要因です。ショートカットは、より難しい偽装です。しかし、ファイルエクスプローラーで詳細表示を行うと、Windowsショートカットが表示され、検出が容易になります。

読む: 攻撃者がIRSフィッシングメールを送信してEmotettマルウェアをインストール