Фишинговая угроза: кибератака на налогоплательщиков США

Фишинговая угроза: кибератака на налогоплательщиков США

Исследователи из Seqrite Labs раскрыли новую вредоносную кампанию, нацеленную на граждан США в период налогового сезона, предшествующего 15 апреля. Злоумышленники используют фишинговые атаки, применяя социальные манипуляции для кражи учетных данных пользователей и развёртывания вредоносного ПО.

Методы атаки

Киберпреступники применяют различные тактики, чтобы обмануть пользователей и заставить их устанавливать вредоносное программное обеспечение:

  • Фишинговые электронные письма с поддельными ссылками.
  • Внедрение вирусов через файлы с замаскированными расширениями, такими как 104842599782-4.pdf.lnk.
  • Использование сложных методов кодирования с помощью команды PowerShell и Base64.

Анализ вредоносного ПО

Исследование показало, что после расшифровки вредоносной полезной нагрузки происходит скачивание архива revolaomt.rar с сервера управления, который содержит исполняемый файл. Это может быть как Setup.exe, так и revolaomt.exe, идентифицированный как Python-исполняемый файл, упакованный с помощью PyInstaller.

Цели фишинговых атак

Фишинговые кампании нацелены на наиболее уязвимые группы налогоплательщиков:

  • Владельцы грин-карт.
  • Малые предприниматели
  • Новые налогоплательщики.

Функции и возможности вредоносной программы

Вредоносная полезная нагрузка второго этапа, связанная с семейством Stealerium, предназначена для кражи конфиденциальных данных пользователей. Она обладает рядом функциональных возможностей:

  • Кража информации из веб-браузеров и криптовалютных кошельков.
  • Сбор учетных данных из профилей электронной почты, связанных с различными почтовыми клиентами.
  • Скриншоты рабочего стола и мониторинг активных процессов.

Как отметил один из специалистов по кибербезопасности, «осложнённая архитектура этой вредоносной программы сочетает в себе функции, позволяющие избежать обнаружения в контролируемой среде, что делает её крайне опасной». Запись собранной информации ведется в зашифрованный файл, что усложняет её дальнейшее отслеживание.

Таким образом, пользователям крайне важно оставаться бдительными и остерегаться подозрительных электронных писем в этот критический период налогового сезона.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: