Данъчните кампании са удобен момент за фишинг от страна на

Данъчните акции са комфортен миг за фишинг от страна на киберпрестъпниците
(снимка: CC0 Public Domain)

Операторите на ботнета Emotet започнаха фишинг акция, ориентирана към американските данъкоплатци. Зловредният програмен продукт се популяризира под прикритието на публични формуляри за отчитане W-9, за които се твърди, че са изпратени от Службата за вътрешни доходи или идват от компании, с които евентуалната жертва си сътрудничи.

В предишното Emotet употребява документи на Microsoft Word и Excel за разпространяване на злотворен програмен продукт. Наскоро обаче Microsoft блокира макроси по дифолт в документи, изтеглени от мрежата. Това принуди кибер-нападателите да търсят нови способи за офанзива.

Въпреки че нападателите не бързат да изоставят инфектираните файлове на Word като средство за снабдяване на злотворен програмен продукт, те към този момент са почнали да употребяват файлове на Microsoft OneNote с вградени скриптове, посредством които Emotet се конфигурира на компютрите на жертвите.

Веднъж конфигуриран, злонамереният програмен продукт стартира да употребява имейл контакти за по-нататъшното си разпространяване, като изпраща спам и в последна сметка конфигурира други злонамерени стратегии, които отварят достъп до системата за други нападатели, в това число оператори на рансъмуер.

Emotet се задейства в Съединени американски щати към огромни национални празници или в интервалите, когато се подават данъчни заявления. По време на актуалната акция, разказана от специалисти от Malware Bytes и Palo Alto Networks, писма със заглавие IRS Tax Forms W-9, съдържащи архива W-9 form.zip, се изпращат от името на данъчни инспектори. Архивът е дребен – 709 килобайта.
още по темата
При разопаковането обаче на диска се записва великански.doc файл от 548 MB, което единствено по себе си е извънредно съмнително. Файлът е раздут до такива стойности с единствената цел да се избегне антивирусно сканиране. Както означават експертите в блога на Malware Bytes, това единствено по себе си е знак за опасност.

Освен това, когато отваря въображаемия формуляр W-9, потребителят получава подкана, че документът е „ предпазен ”, тъй че не може да бъде визуализиран, редактирането и проявлението на в допълнение наличие би трябвало да бъдат позволени. Естествено, това в допълнение наличие се оказва Emotet.

Междувременно, чиновници на Palo Alto Networks засякоха нов вид на офанзива: те се натъкнаха на злоумишлен имейл, съдържащ документ на Microsoft OneNote с вградени VBScript скриптове, които конфигурират злотворен програмен продукт в системата.

Документът на OneNote също се показва като „ сигурен ” и потребителят е подканен да щракне два пъти върху бутона „ View ”, с цел да „ покаже вярно ” наличието. Бутонът View в действителност извършва скриптове.

Microsoft OneNote в това време демонстрира доста действително предизвестие, че файлът може да е рисков. Но, за жалост, потребителите постоянно подценяват това предизвестие.

Веднъж стартиран, скриптът изтегля Emotet DLL и го извършва във фонов режим посредством regsvr32.exe. След това Emotet получава опция да краде имейл известия и контакти, както и да изтегля нови злонамерени съставни елементи с последващото им инсталиране на устройството.