Мошенническая кампания: фишинг и вредоносные программы в налоговый сезон

Мошенническая кампания: фишинг и вредоносные программы в налоговый сезон

Недавние исследования в области кибербезопасности выявили сложную кампанию вредоносных программ, стратегически разработанную для использования в налоговый сезон. Основной целью данной кампании стали финансовые организации и частные лица по всему миру.

Фишинг как основной метод атаки

В центре этой кампании лежит использование фишинговых электронных писем, которые выдают себя за законные налоговые органы и финансовые учреждения. Цель таких писем – распространение вредоносного ПО и сбор конфиденциальных данных. Хакеры применяют темы, связанные с налогами, например:

  • срочное обновление учетной записи;
  • просроченные платежи;
  • обещания возврата средств.

Эти письма часто имитируют сообщения от таких признанных организаций, как:

  • HM Revenue & Customs (HMRC) в Великобритании;
  • Intuit в США;
  • myGov в Австралии.

Каждое из этих писем содержит ссылки на фишинговые веб-сайты или вложения с вредоносным ПО.

Тактики злоумышленников

Одна из известных тактик заключается в отправке писем от имени HMRC с утверждением о срочных обновлениях для налоговых счетов бизнеса. Эти письма направляют получателей на поддельные страницы входа, направленные на сбор учетных данных. Аналогично, фишинговые сообщения от Intuit предупреждают об отклоненных налоговых декларациях и побуждают пользователей посещать сомнительные веб-сайты.

Другие сообщения имитируют налоговое управление Австралии, проверяя нерешенные налоговые вопросы с помощью фишинговых ссылок.

Распространение вредоносных программ

Кампания также включает использование продвинутых вредоносных программ. Наиболее заметные из них:

  • Rhadamanthys: распространяется через мошеннические электронные письма с вредоносными файлами JavaScript, которые загружаются через Microsoft Azure и выполняют команды PowerShell;
  • Voldemort: отвечает за работу бэкдора, использующего Google Sheets для обмена командами и контроля, маскируясь под PDF-файлы, отправляемые якобы от налоговых органов.

Цепочка атак начинается с фишингового электронного письма, которое приводит к выполнению скрипта на Python, загрузке библиотеки DLL и компрометации системы. Эта кампания затронула тысячи организаций по всему миру.

Глобальное распространение атак

В Великобритании атаковались компании, чьи веб-сайты использовались для кражи учетных данных. В Соединенных Штатах в январе 2025 года зафиксировано более 40,000 фишинговых электронных писем, связанных с Intuit. В Швейцарии аналогичные мошеннические кампания выдавали себя за федеральные налоговые органы, вымогая фиктивные платежи.

Рекомендации по защите

Из-за важной роли финансовых организаций в управлении конфиденциальными данными и транзакциями они являются главными целями для таких атак. Чтобы защититься от подобных угроз, организациям рекомендуется:

  • обучать сотрудников распознаванию фишинга;
  • внедрять многофакторную аутентификацию для всех учетных записей;
  • использовать современные системы фильтрации электронной почты для обнаружения вредоносных вложений и ссылок.

Усиление защиты имеет критически важное значение для борьбы с развивающимися угрозами, использующими доверие к авторитетным организациям для распространения вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: