Обнаруженное FortiGuard Labs электронное письмо было, что неудивительно, вредоносным. Но интересным было то, что оно было отправлено недавно возрожденной группой Emotet. Emotet (он же Geodo и Heodo) начинал свою жизнь как банковский троянец, но с тех пор превратился в универсальный инструмент, который может использовать несколько уязвимостей для компрометации своих жертв. После заражения системы он, как правило, передает дополнительные полезные нагрузки. А поскольку он модульный, то легко настраивается пользователями. Эта гибкость и устойчивость - часть причины, по которой Emotet удалось пережить, по крайней мере, одно скоординированное уничтожение со стороны промышленности и правоохранительных органов в 2021 году.
Несмотря на то, что это фишинговое письмо было отправлено с "IRS.gov", оно пришло со взломанного аккаунта электронной почты организации в Пакистане. В теме и теле письма утверждается, что формы IRS K-1 получателя вложены в архив Zip, зашифрованный паролем "0440".
Форма К-1 - это федеральный налоговый документ США, который отражает доходы, убытки и дивиденды партнеров коммерческой или финансовой организации или акционеров корпорации S для налоговой службы. Поскольку содержание этих форм должно быть добавлено к годовой налоговой форме физического лица, они должны быть представлены за месяц (15 марта) до крайнего срока подачи индивидуального подоходного налога - 15 апреля. Вот почему получение формы Schedule K-1, прикрепленной к электронному письму 8 ноября, стало тревожным сигналом.
Призрак налоговой службы - не новая фишинговая приманка, особенно в налоговый сезон. Даже если налоговая служба никогда не будет инициировать контакт с налогоплательщиками по электронной почте, мало что побуждает получателей действовать (и, как следствие, быть менее осторожными), чем мысль о том, что налоговая служба связалась с ними. Эта угроза особенно интересна тем, что она была получена за пределами обычных временных рамок для фишинга, связанного с налоговыми платежами. Это также предупреждение о том, что при получении необычного письма, подобного этому, лучше отнестись к нему с осторожностью, поскольку Emotet и другие подобные угрозы надеются, что страх заставит отказаться от осторожности.
Indicators of Compromise
IPv4 Port Combinations
- 1.234.2.232:8080
- 103.43.75.120:443
- 107.170.39.149:8080
- 110.232.117.186:8080
- 119.59.103.152:8080
- 129.232.188.93:443
- 139.59.126.41:443
- 139.59.56.73:8080
- 149.28.143.92:443
- 159.89.202.34:443
- 164.68.99.3:8080
- 169.60.181.70:8080
- 172.105.226.75:8080
- 183.111.227.137:8080
- 186.194.240.217:443
- 188.44.20.25:443
- 206.189.28.199:8080
- 209.97.163.214:443
- 45.235.8.30:8080
- 94.23.45.86:4143
URLs
- http://cngst.com/data/fXWpDbJ3KwAybE/
- http://kabaruntukrakyat.com/wp-content/ES/
- http://www.spinbalence.com/admin3693/Z6WQpmNRNj6041fU2zpt/
- https://chobemaster.com/INFECTED/LEdXM4gdwN4mgnlC/
SHA256
- 8c3cfdd7e1e162129eedf2c3d9f6f63c133622bfe5d04bccbd823486a85b69ed
- 9efdbe83c874a14282b0105fcec8dc46d9ba1de6496f5d570fa14915b8fd3285
- be2bb6f684cd23a66667a563a78ebfa43de4bb958dc0465a830229a9b927b714