14/04/23
Microsoft Threat Intelligence предупреждает о фишинговой кампании, нацеленной на бухгалтерские фирмы и налоговые органы с помощью вредоносных программ для удалённого доступа, позволяющих получить первоначальный доступ к корпоративным сетям.
Поскольку в США подходит к концу ежегодный налоговый сезон, бухгалтеры изо всех сил пытаются собрать налоговые документы клиентов, чтобы заполнить их и подать налоговые декларации, поясняет Securitylab. В связи с этим для злоумышленников наступает идеальное время для нападения на налоговых инспекторов и прочих причастных. Преступники надеются, что измотанные налоговой гонкой жертвы по ошибке откроют вредоносные файлы и впустят хакеров в свою сеть.
«Прошу прощения, что не ответил раньше, наша индивидуальная налоговая декларация не должна отнять много вашего времени. Я полагаю, вам потребуется копия наших документов за последний год. Все документы в PDF выгружены в облако и защищены паролем», — сообщается в одном из фишинговых писем, обнаруженных специалистами Microsoft Threat Intelligence.
Размещение вредоносных файлов в виде ссылок, а не вложений к письму, позволяют обойти антивирусные системы, внедряемые в сами почтовые сервисы. Такие ссылки обычно ведут на сайт файлообменника злоумышленников, с которого и загружается ZIP-архив, содержащий множество вредоносных ярлыков Windows, выдающих себя за PDF-файлы.
При запуске вредоносные ярлыки запускают PowerShell для загрузки обфусцированного VBS-скрипта с удалённого хоста, который сохраняется в C:\Windows\Tasks\ и затем выполняется оттуда. В то же время через Microsoft Edge параллельно открывается сама PDF-приманка, чтобы не вызывать у жертвы подозрений.
Специалисты Microsoft сообщают, что благодаря VBS-скриптам, активируемым через PowerShell, на хост загружается и устанавливается вредоносное ПО GuLoader. Оно, в свою очередь, затем устанавливает на заражённое устройство троян удаленного доступа Remcos.
