Die Steuersaison in den Vereinigten Staaten steht wieder kurz bevor, was nur eines bedeuten kann – Hacker werden sich als die Steuerbehörde IRS ausgeben, um Geld und vertrauliche Informationen von Unternehmen aller Formen und Größen zu stehlen.
Cybersicherheitsforscher von zwei Unternehmen – Palo Alto Networks und Malwarebytes – haben zwei böswillige Phishing-Kampagnen entdeckt, die genau das tun, aber etwas unterschiedliche Ansätze haben.
In einer Kampagne gaben sich die Angreifer als IRS aus und teilten ein gefälschtes W-9-Steuerformular (öffnet in neuem Tab) per Email. Das Faxformular ist eigentlich die Emotet-Malware, die in der Lage ist, sensible Daten von den infizierten Endpunkten zu stehlen und sie zur weiteren Verbreitung zu verwenden. Emotet kann auch als Dropper dienen, der es den Bedrohungsakteuren ermöglicht, verschiedene Arten von Malware, einschließlich Ransomware, zu verbreiten.
Word- und OneNote-Dateien
Bei dieser Kampagne senden die Angreifer ein mit Malware beladenes Word-Dokument, das auf über 500 MB aufgeblasen wird, um zu vermeiden, dass die Antivirenprogramme ausgelöst werden. Angesichts der Tatsache, dass Microsoft Makros von aus dem Internet heruntergeladenen Office-Dateien blockiert hat, besteht die Möglichkeit, dass diese Kampagne nicht so erfolgreich sein wird.
Die zweite Kampagne unterscheidet sich dadurch, dass diese Angreifer anstelle von Word-Dateien OneNote-Dateien mit schädlichen Add-Ons verteilen.
Diese werden beim Download aus dem Internet noch nicht vollständig blockiert, sodass die Erfolgsquote wohl etwas höher sein wird. In dieser Kampagne würden die Angreifer ein Notizbuch (eine OneNote-Datei) freigeben, das „geschützt“ ist (scheinbar verschwommen) und den Benutzer auffordern, auf „Entsperren“ oder „Anzeigen“ oder einen ähnlichen Aufruf zum Handeln zu klicken. Was sie jedoch wirklich tun würden, ist das Auslösen des Add-Ons, das die Emotet-Malware herunterladen würde.
Der zweite große Unterschied besteht darin, dass diese Dateien nicht vom gefälschten IRS stammen, sondern von gefälschten Partnern, Kunden oder Unternehmen, mit denen die Opfer anderweitig zu tun haben.
Normalerweise werden Steuerformulare als .PDF-Datei verteilt und nicht als .DOCX-Datei, was wahrscheinlich der beste Weg ist, um einen Cyberangriff zu erkennen. Darüber hinaus ist OneNote nicht gerade das beliebteste Produktivitätstool, daher sollte das Erhalten einer NoteBook-Datei von Anfang an ein Warnsignal sein.
Über: Piepender Computer (öffnet in neuem Tab)