Налоговый сезон в США снова приближается, что может означать только одно: хакеры будут выдавать себя за Службу внутренних доходов (IRS) в попытке украсть наличные деньги и конфиденциальную информацию у компаний всех форм и размеров.
Исследователи кибербезопасности из двух компаний, Palo Alto Networks и Malwarebytes, обнаружили две вредоносные фишинговые кампании, которые делают именно это, но с несколько разными подходами.
В ходе одной из кампаний злоумышленники выдавали себя за налоговую службу и отправляли по электронной почте поддельную налоговую форму W-9 (открывается в новой вкладке). Форма факса на самом деле представляет собой вредоносную программу Emotet, которая способна красть конфиденциальные данные с зараженных конечных точек и использовать их для дальнейшего распространения. Emotet также может выступать в качестве дроппера, позволяя злоумышленникам распространять различные типы вредоносных программ, включая программы-вымогатели.
Файлы Word и OneNote
В рамках этой кампании злоумышленники отправили зараженный вредоносным ПО документ Word размером более 500 МБ, чтобы предотвратить активацию антивирусных программ. Однако, поскольку Microsoft заблокировала макросы из файлов Office, загруженных из Интернета, эта кампания, скорее всего, не будет столь успешной.
Вторая кампания отличается тем, что вместо файлов Word злоумышленники распространяют файлы OneNote с вредоносными плагинами.
Они еще не полностью блокируются при загрузке из Интернета, поэтому вероятность успеха, вероятно, немного выше. В этой кампании злоумышленники делились «защищенным» блокнотом (файлом OneNote) (он выглядел размытым) и требовали от пользователя нажать «Разблокировать», «Просмотреть» или аналогичный призыв к действию. Однако на самом деле они активируют плагин, который загрузит вредоносное ПО Emotet.
Второе большое отличие заключается в том, что эти файлы будут поступать не от фальшивой налоговой службы, а от фиктивных партнеров, клиентов или компаний, с которыми взаимодействуют жертвы.
Налоговые формы обычно распространяются в виде файла .PDF, а не файла .DOCX, что, вероятно, является лучшим способом обнаружения кибератаки. Кроме того, OneNote не является самым популярным инструментом повышения производительности, поэтому получение файла Notebook должно быть тревожным сигналом с самого начала.
Через: BleepingComputer (открывается в новой вкладке)