Μια νέα καμπάνια phishing της Emotet στοχεύει φορολογούμενους στις ΗΠΑ

Μια νέα καμπάνια phishing της Emotet στοχεύει φορολογούμενους στις Η.Π.Α. πλαστοπροσωπώντας τα φορολογικά έντυπα W-9 που φέρεται να έχουν αποσταλεί από την Υπηρεσία Εσωτερικών Εσόδων και τις εταιρείες με τις οποίες συνεργάζονται.

Το καταστροφικό Emotet malware εξαπλώνεται μέσω ηλεκτρονικών μηνυμάτων phishing, τα οποία συχνά περιέχουν κακόβουλες μακροεντολές σε έγγραφα Microsoft Word και Excel. Εάν αυτά ανοιχτούν, το κακόβουλο λογισμικό θα εγκατασταθεί στη συσκευή σας.

Ωστόσο, αφού η Microsoft άρχισε να αποκλείει τις μακροεντολές από προεπιλογή στα ληφθέντα έγγραφα του Office, το Emotet άλλαξε στη χρήση αρχείων Microsoft OneNote με ενσωματωμένα scripts για την εγκατάσταση του κακόβουλου λογισμικού Emotet.

Μόλις το Emotet εγκατασταθεί στο σύστημα κάποιου, όχι μόνο θα κλέβει μηνύματα ηλεκτρονικού ταχυδρομείου για να τα χρησιμοποιήσει σε επιθέσεις αναπαραγωγής, αλλά θα στέλνει επιπλέον spam emails και θα αναπτύσσει άλλα κακόβουλα προγράμματα. Αυτό ανοίγει την πόρτα για χάκερς όπως συμμορίες ransomware που επιδιώκουν να διεισδύσουν σε υπολογιστές θυμάτων και να αποκτήσουν αρχική πρόσβαση.

Το Emotet malware διανέμεται ως ψεύτικα W-9 tax forms από την IRS

Η Emotet ετοιμάζεται για τη φορολογική περίοδο των ΗΠΑ

Προκειμένου να επωφεληθούν από τη φασαρία της φορολογικής περιόδου στις ΗΠΑ, οι επιχειρήσεις κακόβουλου λογισμικού Emotet χρησιμοποιούν συχνά θεματικές εκστρατείες phishing σε συνδυασμό με τις διακοπές και άλλες ετήσιες επιχειρηματικές δραστηριότητες.

Το Malwarebytes και η Unit42 της Palo Alto Networks έχουν παρατηρήσει μια νέα εκστρατεία phishing, στην οποία το κακόβουλο λογισμικό Emotet στοχεύει τα θύματα με email που περιέχουν ψεύτικα συνημμένα έντυπα φορολογικής δήλωσης W-9.

To Malwarebytes αναγνώρισε πρόσφατα μια κακόβουλη καμπάνια που αφορούσε μηνύματα ηλεκτρονικού ταχυδρομείου με θέμα “IRS Tax Forms W-9”, τα οποία εστάλησαν από έναν πλαστογράφο που ισχυριζόταν ότι είναι επιθεωρητής της Υπηρεσίας Εσωτερικών Εσόδων.

Αυτά τα κακόβουλα phishing emails συνοδεύονται από ένα μεγάλο αρχείο ZIP με τίτλο “W-9 form.zip”, το οποίο περιέχει ένα επικίνδυνο έγγραφο του Word, και για να αποφύγει τον εντοπισμό από το λογισμικό ασφαλείας, το μέγεθος του αρχείου αυξήθηκε σκόπιμα σε περισσότερα από 500MB!

Χάρη στον πρόσφατο αποκλεισμό των μακροεντολών από τη Microsoft από προεπιλογή, οι χρήστες είναι πολύ λιγότερο πιθανό να πέσουν θύματα μόλυνσης από κακόβουλα έγγραφα του Word, καθώς απαιτείται πλέον μια επιπλέον προσπάθεια προκειμένου να ενεργοποιηθούν οι μακροεντολές.

Ο Brad Duncan από την Unit42 παρατήρησε μια επίθεση phishing όπου οι επιτιθέμενοι παρέκαμψαν τα μέτρα ασφαλείας χρησιμοποιώντας έγγραφα Microsoft OneNote που περιέχουν ενσωματωμένα αρχεία VBScript που αναπτύσσουν το κακόβουλο λογισμικό Emotet.

Όπως φαίνεται στην παρακάτω εικόνα, αυτή η εκστρατεία ηλεκτρονικού “ψαρέματος” χρησιμοποιεί μηνύματα ηλεκτρονικού ταχυδρομείου με αλυσίδα απαντήσεων που προσποιούνται ότι προέρχονται από επιχειρηματικούς εταίρους και περιέχουν έντυπα W-9.

Μην ξεγελιέστε από τα φαινομενικά αυθεντικά έγγραφα OneNote που φαίνεται να απαιτούν διπλό κλικ στο κουμπί ‘View’ για σωστή προβολή. Όταν κάνετε κλικ, αυτά τα αρχεία θα εκκινήσουν στην πραγματικότητα ένα έγγραφο VBScript.

Κατά την εκκίνηση του ενσωματωμένου αρχείου VBScript, το Microsoft OneNote θα προειδοποιήσει τον χρήστη ότι το αρχείο μπορεί να είναι κακόβουλο. Δυστυχώς, η ιστορία μας έχει δείξει ότι πολλοί χρήστες αγνοούν αυτές τις προειδοποιήσεις και απλώς επιτρέπουν την εκτέλεση των αρχείων.

Μόλις ξεκινήσει, το VBScript θα κατεβάσει και στη συνέχεια θα εκκινήσει το Emotet DLL με το regsvr32.exe για αποτελεσματική εκτέλεση.

Χωρίς να το γνωρίζει ο χρήστης, το κακόβουλο λογισμικό εκτελείται πλέον αθόρυβα στο παρασκήνιο, κλέβοντας email και επαφές, ενώ περιμένει να εγκατασταθούν στη συσκευή του πιο επικίνδυνα payload.

Εάν σας έχουν αποσταλεί μέσω ηλεκτρονικού ταχυδρομείου έντυπα W-9 ή άλλα φορολογικά έντυπα, βεβαιωθείτε ότι έχετε πρώτα σαρώσει τα έγγραφα με το τοπικό σας λογισμικό προστασίας από ιούς. Παρ’ όλα αυτά, λαμβάνοντας υπόψη την εμπιστευτική φύση αυτών των εγγράφων, συνιστάται να απέχετε από το να τα ανεβάσετε σε υπηρεσίες σάρωσης που βασίζονται στο cloud, όπως το VirusTotal.

Γενικά, τα φορολογικά έντυπα παραδίδονται ως PDF και όχι ως συνημμένα αρχεία Word. Εάν λάβετε ένα τέτοιο έντυπο, καλό είναι να αποφύγετε το άνοιγμα του αρχείου και την ενεργοποίηση μακροεντολών.

Σε καμία περίπτωση δεν θα πρέπει να ανοίξετε ένα έγγραφο OneNote που ισχυρίζεται ότι προέρχεται από την IRS- αντίθετα, διαγράψτε αμέσως αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου. Όχι μόνο είναι εξαιρετικά απίθανο να αποσταλούν τέτοια φορολογικά έντυπα ως έγγραφα OneNote, αλλά θα μπορούσαν επίσης να περιέχουν κακόβουλο λογισμικό.

Ως προληπτικό μέτρο, πρέπει να διαγράφετε τα μηνύματα από άγνωστους αποστολείς. Επιπλέον, αν αναγνωρίζετε το όνομα του αποστολέα, επιβεβαιώστε την ταυτότητά του με ένα τηλεφώνημα πριν ανοίξετε τα μηνύματα ηλεκτρονικού ταχυδρομείου που έχει στείλει.

Πηγή πληροφοριών: bleepingcomputer.com