미국 납세자를 겨냥한 피싱 사기와 원격 접근 악성코드

미국은 현재 연간 세금 신고 기간의 끝에 있습니다; 회계사들은 세금 신고를 완료하기 위해 고객의 세금 문서를 수집하고 있습니다.

이로 인해 위협 행위자들이 납세자를 겨냥할 완벽한 시점이 되며, 그들이 평소보다 덜 바쁠 때 더 조심할 수 있는 악성 파일을 열기를 희망합니다.

그렇다고 하더라도, 마이크로소프트는 납세자와 회계 회사를 겨냥한 피싱 공격에 대한 경고를 지속적으로 발송하고 있으며, 이는 위협 행위자들이 기업 네트워크에 초기 접근을 허용하는 원격 접근 악성코드입니다.

미국 세금 제출일이 다가오면서, 마이크로소프트는 경고를 계속 발송하고 있으며, 회사의 최신 보고서에서는 세금 회사 및 납세자를 겨냥한 피싱 공격의 재발을 관찰했다고 언급하며, 이는 올해 2월부터 시작된 Ramcos 원격 접근 트로이 목마(RAT)를 전달합니다.

읽기: 체크포인트 보안 연구원들이 독특한 기능을 가진 빠른 랜섬웨어 ‘로르샤흐’를 발견하다

이제 피싱 공격에 대해 이야기해 보겠습니다; 이 활동은 세금 신고를 완료하기 위해 필요한 파일을 보낸 고객으로 가장한 이메일로 시작됩니다. 마이크로소프트가 본 피싱 이메일에는 다음과 같은 내용이 있습니다. “ 답변이 늦어진 점 사과드립니다; 우리의 개인 세금 신고는 간단해야 하며 많은 시간을 요구하지 않을 것입니다. ”

“ 저는 당신이 W-2, 1099, 이자, 모기지, 기부금, HSA, 의료 투자 등과 같은 최근 연도의 문서 사본이 필요할 것이라고 생각합니다. 아래에 업로드했습니다. ”

이 피싱 이메일에는 사용자가 클릭하는 링크가 포함되어 있으며, 이는 보안 소프트웨어에 의해 탐지되지 않기 위해 추적 서비스를 사용하고, 결국 ZIP 파일을 다운로드하는 파일 호스팅 웹사이트로 연결됩니다.

ZIP 아카이브에는 다양한 세금 양식으로 가장된 여러 파일이 포함되어 있지만, 실제로는 윈도우 바로가기입니다.

대상이 이 파일을 더블 클릭하면, 윈도우 바로가기는 원격 호스트에서 오는 심하게 난독화된 VBS 파일을 실행하는 PowerShell을 수행하며, 이는 C:\Windows\Tasks에 저장되고 실행됩니다. 동시에 VBS 파일은 의심을 피하기 위해 Microsoft Edge에서 열 수 있는 미끼 PDF 파일을 다운로드합니다.

마이크로소프트에 따르면, VBS 파일은 Guloader 악성코드를 다운로드하고 실행하여 Ramcos 원격 접근 트로이 목마를 설치합니다. Ramcos 원격 트로이 목마는 위협 행위자들이 초기 접근을 얻기 위해 피싱 공격에서 일반적으로 사용하는 트로이 목마입니다.

접근 권한을 얻은 후, 위협 공격자는 네트워크를 통해 더 확산되어 데이터를 훔치고 장치에 다른 악성코드를 설치합니다. 마이크로소프트는 이러한 피싱 활동이 일반적으로 세금 관련 주제를 사용하지만, 이 캠페인은 개인 및 세금 회사만을 겨냥하고 있다고 말합니다.

이 활동의 초기 로더는 PDF 파일로 가장된 악성 파일이므로, 파일 확장을 항상 표시하는 것이 권장됩니다. 불행히도, 윈도우 바로가기는 링크 파일 확장을 사용하지만 파일 확장을 표시하지 않는 특별한 파일 유형입니다.

이것이 파일을 탐지하기 어렵게 만드는 이유입니다. 바로가기는 더 어려운 변장입니다. 그러나 파일 탐색기에서 세부정보로 파일을 나열하면 윈도우 바로가기가 표시되어 탐지가 더 쉬워집니다.

읽기: 공격자들이 IRS 피싱 이메일을 보내 Emotett 악성코드를 설치하다