Мошенническая кампания: фишинг и вредоносные программы в налоговый сезон

Недавние исследования в области кибербезопасности выявили сложную кампанию вредоносных программ, стратегически разработанную для использования в налоговый сезон. Основной целью данной кампании стали финансовые организации и частные лица по всему миру.
Фишинг как основной метод атаки
В центре этой кампании лежит использование фишинговых электронных писем, которые выдают себя за законные налоговые органы и финансовые учреждения. Цель таких писем – распространение вредоносного ПО и сбор конфиденциальных данных. Хакеры применяют темы, связанные с налогами, например:
- срочное обновление учетной записи;
- просроченные платежи;
- обещания возврата средств.
Эти письма часто имитируют сообщения от таких признанных организаций, как:
- HM Revenue & Customs (HMRC) в Великобритании;
- Intuit в США;
- myGov в Австралии.
Каждое из этих писем содержит ссылки на фишинговые веб-сайты или вложения с вредоносным ПО.
Тактики злоумышленников
Одна из известных тактик заключается в отправке писем от имени HMRC с утверждением о срочных обновлениях для налоговых счетов бизнеса. Эти письма направляют получателей на поддельные страницы входа, направленные на сбор учетных данных. Аналогично, фишинговые сообщения от Intuit предупреждают об отклоненных налоговых декларациях и побуждают пользователей посещать сомнительные веб-сайты.
Другие сообщения имитируют налоговое управление Австралии, проверяя нерешенные налоговые вопросы с помощью фишинговых ссылок.
Распространение вредоносных программ
Кампания также включает использование продвинутых вредоносных программ. Наиболее заметные из них:
- Rhadamanthys: распространяется через мошеннические электронные письма с вредоносными файлами JavaScript, которые загружаются через Microsoft Azure и выполняют команды PowerShell;
- Voldemort: отвечает за работу бэкдора, использующего Google Sheets для обмена командами и контроля, маскируясь под PDF-файлы, отправляемые якобы от налоговых органов.
Цепочка атак начинается с фишингового электронного письма, которое приводит к выполнению скрипта на Python, загрузке библиотеки DLL и компрометации системы. Эта кампания затронула тысячи организаций по всему миру.
Глобальное распространение атак
В Великобритании атаковались компании, чьи веб-сайты использовались для кражи учетных данных. В Соединенных Штатах в январе 2025 года зафиксировано более 40,000 фишинговых электронных писем, связанных с Intuit. В Швейцарии аналогичные мошеннические кампания выдавали себя за федеральные налоговые органы, вымогая фиктивные платежи.
Рекомендации по защите
Из-за важной роли финансовых организаций в управлении конфиденциальными данными и транзакциями они являются главными целями для таких атак. Чтобы защититься от подобных угроз, организациям рекомендуется:
- обучать сотрудников распознаванию фишинга;
- внедрять многофакторную аутентификацию для всех учетных записей;
- использовать современные системы фильтрации электронной почты для обнаружения вредоносных вложений и ссылок.
Усиление защиты имеет критически важное значение для борьбы с развивающимися угрозами, использующими доверие к авторитетным организациям для распространения вредоносного ПО.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



