Фишинговые мошенничества, нацеленные на налогоплательщиков США с использованием вредоносного ПО для удаленного доступа

Сейчас в США заканчивается ежегодный налоговый период; бухгалтеры собирают налоговые документы клиентов, чтобы завершить файлы для налоговых деклараций.

Это делает идеальным временем для злоумышленников нацелиться на налогоплательщиков, надеясь, что они откроют вредоносные файлы, с которыми они обычно были бы более осторожны, когда менее заняты.

Сказав это, Microsoft выпустила предупреждения о фишинговой атаке, которая нацелена на налогоплательщиков и бухгалтерские компании с использованием вредоносного ПО для удаленного доступа, позволяющего злоумышленникам получить первоначальный доступ к корпоративной сети.

Поскольку день подачи налогов в США приближается, Microsoft продолжает выпускать предупреждения, и в своем последнем отчете компания упоминает, что наблюдает возвращение фишинговых атак, нацеленных на налоговые компании и налогоплательщиков, для доставки трояна удаленного доступа Ramcos (RAT), который заражает корпоративные сети, начавшиеся в этом феврале.

Читать: Исследователи безопасности Checkpoint обнаружили быстрое программное обеспечение-вымогатель ‘Rorschach’ с уникальными функциями

Теперь о фишинговой атаке; активность начинается с электронных писем, которые притворяются письмами от клиентов, отправивших необходимые файлы для завершения налоговой декларации. Фишинговое письмо, которое увидела Microsoft, гласит: “ Извините, что не ответил раньше; наша индивидуальная налоговая декларация должна быть простой и не требовать много вашего времени. ”

“ Я полагаю, вам потребуется копия документов за наш последний год, таких как W-2, 1099, проценты, ипотеки, пожертвования, HSA, медицинские инвестиции и многое другое, что я загрузил ниже ”.

Эти фишинговые письма содержат ссылки, по которым пользователи кликают, чтобы избежать обнаружения программным обеспечением безопасности, и в конечном итоге ведут на сайт хостинга файлов, где загружается ZIP-файл.

ZIP-архив содержит несколько файлов, которые маскируются под PDF-файлы для различных налоговых форм, хотя на самом деле это ярлыки Windows.

Когда цель дважды щелкает по ним, ярлык Windows выполняет PowerShell, сильно обфусцированный VBS-файл с удаленного хоста, который затем сохраняется в C:\Windows\Tasks и выполняется, одновременно VBS-файл загружает поддельный PDF-файл, чтобы открыть его в Microsoft Edge, чтобы избежать подозрений со стороны целевой персоны.

Согласно Microsoft, VBS-файл загрузит и выполнит вредоносное ПО Guloader, устанавливая троян удаленного доступа Ramcos. Троян Ramcos - это троян, который злоумышленники обычно используют в фишинговых атаках для получения первоначального доступа.

Получив доступ, злоумышленники распространяются дальше по сети, чтобы украсть данные и установить другое вредоносное ПО на устройство. Microsoft сообщает, что эти фишинговые действия обычно используют темы, связанные с налогами, хотя необычно, что эта кампания нацелена только на частных лиц и налоговые фирмы.

Начальный загрузчик для этой активности - это вредоносные файлы, которые выдают себя за PDF-файлы, поэтому всегда рекомендуется отображать расширение файла. К сожалению, ярлыки Windows - это специальный тип файла, который использует расширение ссылочного файла, но не показывает расширение файла.

Это делает его трудным для обнаружения файлов. Ярлык - это маскировка, которая более сложна. Тем не менее, отображение файлов в проводнике Windows в режиме «Сведения» покажет ярлык Windows, что облегчит его обнаружение.

Читать: Злоумышленники отправляют фишинговые письма IRS для установки вредоносного ПО Emotett