Golpes de Phishing Alvo de Contribuintes dos EUA com Malware de Acesso Remoto

Os EUA estão atualmente no final do seu período de Tributação Anual; contadores estão reunindo os documentos fiscais dos clientes para finalizar os arquivos das declarações de impostos.

Bem, isso torna o momento perfeito para que os atores de ameaça visem os contribuintes, na esperança de que eles abram os arquivos maliciosos com os quais normalmente seriam mais cautelosos quando estão menos ocupados.

Dito isso, a Microsoft tem emitido avisos sobre o ataque de phishing, que visa contribuintes e empresas de contabilidade com malware de Acesso Remoto que permite que os atores de ameaça obtenham acesso inicial à rede corporativa.

À medida que o dia de envio de impostos nos EUA se aproxima, a Microsoft tem emitido avisos, e a empresa, em seu último relatório, menciona que observou o retorno dos ataques de phishing direcionados a empresas de impostos e contribuintes para entregar o Trojan de Acesso Remoto Ramcos (RAT) que infecta redes corporativas e começou em fevereiro.

Leia: Pesquisadores de Segurança da Checkpoint Descobrem Ransomware Rápido ‘Rorschach’ com Recursos Únicos

Agora, sobre o ataque de phishing; a atividade começa com e-mails que se fazem passar por clientes que enviaram os arquivos necessários para completar a declaração de impostos. Um e-mail de phishing que a Microsoft viu diz: “ Peço desculpas por não responder mais cedo; nossa declaração de imposto individual deve ser simples e não deve exigir muito do seu tempo. ”

“ Acredito que você precisaria de uma cópia dos documentos do nosso ano mais recente, como W-2s, 1099s, juros, hipotecas, doações, HSAs, investimentos médicos e mais, que eu carreguei abaixo ”.

Esses e-mails de phishing têm links que os usuários clicam em serviços de rastreamento para escapar da detecção pelo software de segurança e, finalmente, levam a um site de hospedagem de arquivos que baixa um arquivo ZIP.

O arquivo Zip contém vários arquivos que se disfarçam como arquivos PDF para vários fóruns fiscais, embora sejam atalhos do Windows.

Quando o alvo clica duas vezes neles, o atalho do Windows executará um PowerShell, um arquivo VBS fortemente ofuscado de um host remoto, que é então salvo em C:\Windows\Tasks e executado, e simultaneamente o arquivo VBS baixará um arquivo PDF de isca para abrir no Microsoft Edge para evitar causar suspeitas pela pessoa visada.

De acordo com a Microsoft, o arquivo VBS baixará e executará o malware Guloader, instalando o Trojan de Acesso Remoto Ramcos. Bem, o Trojan Ramcos é um trojan que os atores de ameaça costumam usar em ataques de phishing para obter acesso inicial.

Após obter acesso, os atacantes de ameaça se espalham ainda mais pela rede para roubar dados e instalar outros malwares no dispositivo. A Microsoft afirma que essas atividades de phishing geralmente usam temas relacionados a impostos, embora, incomum, esta campanha vise apenas indivíduos e empresas de impostos.

O carregador inicial para esta atividade são arquivos maliciosos que se fazem passar por arquivos PDF, portanto, é sempre recomendável exibir a extensão do arquivo. Infelizmente, os atalhos do Windows são um tipo de arquivo especial que usa a extensão de arquivo de link, mas não mostra a extensão do arquivo.

Isso é o que torna difícil detectar os arquivos. Um atalho é um disfarce que é mais difícil. No entanto, listar arquivos no Explorador de Arquivos em Detalhes mostrará o Atalho do Windows, facilitando a detecção.

Leia: Atacantes Enviando E-mails de Phishing do IRS para Instalar Malware Emotett