Аналитический центр безопасности АнЛаб (ASEC) отмечает значительное увеличение количества фишинговых писем, выдающих себя за Национальную налоговую службу (ННС), особенно в периоды подачи налоговых деклараций.
Описание
Эти попытки фишинга включают в себя письма с манипулируемыми адресами отправителей, которые выглядят как письма от ННС, и содержат вредоносные вложения в различных форматах или гиперссылки, ведущие на сайты, содержащие вредоносное ПО. Вредоносные действия, выполняемые этими вложениями, включают кражу учетных данных, функционирование в качестве вредоносных программ-загрузчиков, выполнение вредоносного кода и выполнение дополнительных вредоносных действий с помощью таких приемов, как перехват DLL и использование файлов справки Windows (CHM). В частности, злоумышленники распространяют сжатый файл с именем 'NTS_eTaxInvoice.zip', содержащий легитимный на вид файл, который при выполнении выполняет вредоносные действия через захват DLL.
Вредоносным ПО, идентифицированным в данном контексте, является XWorm, способный отслеживать веб-камеры и клавиатуры, похищать системную информацию и учетные записи пользователей. Кроме того, CHM-файлы используются для выполнения вредоносных скриптов через процесс MSHTA, что приводит к появлению различных функций, таких как сохранение и выполнение команд с сервера C2. Эти скрипты также могут создавать и исполнять файлы BAT и VBS для загрузки дополнительных вредоносных программ, похищающих пользовательскую информацию. Злоумышленники используют период уплаты налогов, чтобы использовать ожидания пользователей в получении легитимных сообщений от НТС.
Indicators of Compromise
SHA256
- 2cf7c281f3da8e7704ec351412a1af85bbca64c49660caac152397987026576d
- 7b5afdb15dbcee7165a7861b4b058c77c57e3d41ec2a7d9d8d4f8ad37cfb98a2
- a16f3fa0f5d53059508fe31fc9b53e8821d38558ba76b06a2a26a4698af03d6f
- cd6a69845cf0edbad4af43ae6ccbe7ed6d342b330aea79e8c06af797c07e5028
- ebe10c82b4e695a4976c4ed18984838597ecebe7171c89d23ca446b085c8af20