Что делает любое злонамеренное действие успешным, так это отсутствие подозрений. Хотя мы все знаем, что не следует открывать ссылки электронной почты от неизвестного отправителя, когда отправитель является доверенной организацией, это позволяет нам чувствовать себя в достаточной безопасности, чтобы даже не думать о том, что с этим могут быть связаны гнусные действия. Именно так обстоит дело с новой кампанией Emotet, которая маскирует электронные письма под письма от IRS, но на самом деле внутри них скрывается вредоносное ПО.
Также читайте: Вредоносное ПО Emotet нацелено на правительство США
Что такое вредоносное ПО Emotet?
Emotet — это вредоносное ПО, которое заражает компьютеры, скрываясь в вредоносных электронных письмах. Вредоносная программа скрыта в файлах Microsoft Word и Excel. Когда эти файлы открываются, ничего не подозревающие пользователи по незнанию включают макросы, которые запускают загрузку вредоносного ПО Emotet на компьютеры пользователей.
Вредоносное ПО после установки крадет электронную почту пользователей и сохраняет ее для использования в будущих атаках. Он также рассылает больше спама и устанавливает другие вредоносные программы, которые могут привести к атаке программ-вымогателей.
Но опять же, чтобы добиться успеха, вредоносному ПО Emotet необходимо найти ничего не подозревающих людей или ничего не подозревающий способ начать атаку.
Программа-вымогатель, выдающая себя за налоговую службу
Вредоносная программа Emotet нашла свой неожиданный способ проведения атак во время налогового сезона. Очень легко предположить, что письмо Налоговой службы, которое вы видите в своем электронном письме, настоящее.
Охранная фирма Cofense опубликовала отчет, в котором показаны многочисленные фишинговые кампании, замаскированные под электронные письма от IRS. Получателей обманом заставляют поверить, что электронные письма содержат их налоговую декларацию, форму W-9 или другой соответствующий документ.
Письма в электронных письмах и их темы могут различаться, но в конечном итоге общее сообщение таково: это важный документ, которого вы так долго ждали. Темами были: «Налоговые формы IRS», «Неправильный выбор формы W-9» и «ДЕКЛАТАЦИЯ ПО ПОДОХОДНОМУ НАЛОГУ за 2021 год».
Пример направляет получателей к вложению W-9 и просит его заполнить и вернуть. Он любезно предлагает ответы на любые вопросы и «бумажное электронное письмо», что кажется оксюмороном.
К электронным письмам прикрепляются ZIP-файлы или файлы HTML. Они получают доступ к защищенной электронной почте, поскольку защищены паролем. Это приводит к предположению, что эта группа знает, что делает.
Опять же, в ходе проведенных тестов файлы не были правильно проанализированы встроенным экстрактором Windows. А если вредоносное ПО невозможно загрузить, электронное письмо не будет иметь большого веса. Однако сторонние программы без проблем извлекают файлы.
В примере электронного письма находится файл Excel «W-9 form.xslm». После того, как пользователь откроет его, ему будет предложено нажать кнопку «Включить редактирование» или «Включить контент», чтобы просмотреть документ. При нажатии кнопки микрозагрузит и установит вредоносное ПО Emotet, ожидающее на взломанных сайтах WordPress.
Дополнительные полезные нагрузки будут загружены после установки вредоносного ПО Emotet. Этими полезными нагрузками часто были Cobalt Strike. Другая исследовательская группа, Cryptolaemus, обнаружила, что Emotet удалил трояна удаленного доступа SystemBC.
Возможно, что-то подобное произошло и со мной и моим мужем. Несколько лет назад мы подали декларацию через налоговое онлайн-программное обеспечение, и нам сообщили, что кто-то с нашими именами, адресом и номерами социального страхования уже подал нашу декларацию. Никто из нас не инициировал подачу налоговой декларации, кроме этой. Нам пришлось пройти через все препятствия, чтобы убедить налоговую службу в нашей истинной личности.
С тех пор нас не обманули, и мы больше не подаем файлы онлайн. Примечание для мудрых: IRS не отправит вам электронное письмо. Он свяжется с вами через Почтовую службу США. Если вы считаете, что могли быть заражены, узнайте, как проверить свой компьютер на наличие вредоносного ПО Emotet.
