В преддверии Дня налогов в США 15 апреля компания Microsoft обнаружила несколько фишинговых кампаний, которые используют налоговую тематику для социальной инженерии с целью кражи учетных данных и внедрения вредоносного ПО.
Описание
Злоумышленники используют перенаправления, такие как укорачиватели URL-адресов и QR-коды, а также злоупотребляют легитимные сервисы, чтобы скрыть свою деятельность и избежать обнаружения. Кампании включают использование платформы RaccoonO365 phishing-as-a-service (PhaaS) для доставки фишинговых страниц, троянов удаленного доступа (RAT) и других вредоносных программ.
Каждый год злоумышленники используют налоговый сезон, чтобы манипулировать людьми и получить доступ к их личной и финансовой информации. Они создают обманчивые кампании, которые вводят налогоплательщиков в заблуждение, заставляя их раскрывать конфиденциальные данные, совершать платежи на поддельные сервисы или устанавливать вредоносное ПО. Чтобы предотвратить подобные атаки, пользователи и организации должны использовать передовые решения для борьбы с фишингом и проводить обучение и повышение осведомленности среди пользователей.
Microsoft выявила несколько кампаний, использующих налоговую тематику для социальной инженерии. Компания также предоставляет рекомендации для защиты пользователей и организаций от фишинговых атак, связанных с налоговым сезоном. Microsoft Defender для Office 365 блокирует вредоносные электронные письма и вложения, используемые в этих атаках. Microsoft Defender для Endpoint также обнаруживает и блокирует различные угрозы, связанные с налоговыми атаками. Налоговая служба США (IRS) не вступает в контакт с налогоплательщиками по электронной почте, текстовым сообщениям или через социальные сети, чтобы получить личную или финансовую информацию.
Microsoft также обнаружила фишинговую кампанию, в которой использовалось несколько тысяч писем, направленных на Соединенные Штаты. В этой кампании использовались фишинговые письма на налоговую тематику, которые содержали инструмент красной переписки BRc4 и вредоносное ПО Latrodectus. Брокер доступа Storm-0249, известный некоторыми другими вредоносными программами, такими как BazaLoader, IcedID, Bumblebee и Emotet, также был связан с этой кампанией.
В фишинговых письмах содержались вложения PDF с вредоносными ссылками, а также QR-коды, которые ссылались на поддельные страницы, которые маскировались под DocuSign. Если пользователь нажимал на кнопку "Загрузить" на странице, установлялось вредоносное ПО BRc4, а затем Latrodectus - вредоносный инструмент, используемый для дальнейших атак.
Indicators of Compromise
IPv4
- 181.49.105.59
Domains
- cronoze.com
- muuxxu.com
- newsbloger1.duckdns.org
- porelinofigoventa.com
- proliforetka.com
- shareddocumentso365cloudauthstorage.com
- slgndocline.onlxtg.com
URLs
- http://rebrand.ly/243eaa
- http://slgndocline.onlxtg.com/87300038978/
- https://acusense.ae/umbrella/
- https://business.google.com/website_shared/launch_bw.html?f=https://historyofpia.com/Tax_Refund_Eligibility_Document.xlsm
- https://historyofpia.com/Tax_Refund_Eligibility_Document.xlsm
- https://rosenbaum.live/bars.php
- https://www.dropbox.com/scl/fi/ox2fv884k4mhzv05lf4g1/2024-Tax-Document.zip?rlkey=fjtynsx5c5ow59l4zc1nsslfi&st=gvfamzw3&dl=1
SHA256
- 0b22a0d84afb8bc4426ac3882a5ecd2e93818a2ea62d4d5cbae36d942552a36a
- 165896fb5761596c6f6d80323e4b5804e4ad448370ceaf9b525db30b2452f7f5
- 3c482415979debc041d7e4c41a8f1a35ca0850b9e392fecbdef3d3bc0ac69960
- 4d5839d70f16e8f4f7980d0ae1758bb5a88b061fd723ea4bf32b4b474c222bec
- 9728b7c73ef25566cba2599cb86d87c360db7cafec003616f09ef70962f0f6fc
- 9bffe9add38808b3f6021e6d07084a06300347dd5d4b7e159d97e949735cff1e
- a1b4db93eb72a520878ad338d66313fbaeab3634000fb7c69b1c34c9f3e17727
- a31ea11c98a398f4709d52e202f3f2d1698569b7b6878572fc891b8de56e1ff7
- bb3b6262a288610df46f785c57d7f1fa0ebc75178c625eaabf087c7ec3fccb6a
- fe0b2e0fe7ce26ae398fe6c36dae551cb635696c927761738f040b581e4ed422
