Microsoft cảnh báo: Tấn công lừa đảo nhắm vào các kế toán viên khi Ngày thuế đến gần

Microsoft đang cảnh báo về một chiến dịch lừa đảo nhắm vào các công ty kế toán và người khai thuế bằng mã độc truy cập từ xa cho phép truy cập trái phép vào mạng công ty.

Mùa khai thuế hàng năm tại Mỹ sắp kết thúc, các kế toán viên đang cố gắng thu thập các tài liệu thuế của khách hàng để hoàn thành và nộp tờ khai thuế.

Đây là thời điểm lý tưởng để các tác nhân đe dọa nhắm mục tiêu vào những người khai thuế, mong chờ việc họ mở nhầm các tệp độc hại trong lúc bận rộn.

Đây chính xác là những gì Microsoft phát hiện được trong một vụ lừa đảo mới nhắm vào các chuyên gia thuế để cài đặt trojan truy cập từ xa (RAT) Remcos.

Trong một báo cáo mới, Microsoft cho biết: "Khi Ngày thuế của Mỹ đang đến gần, Microsoft đã phát hiện các cuộc tấn công lừa đảo nhắm vào các công ty kế toán và khai thuế để phát tán Remcos RAT và xâm phạm các mạng mục tiêu kể từ tháng 2 năm nay".

Chiến dịch lừa đảo bắt đầu bằng các email giả làm khách hàng gửi các tài liệu cần thiết để hoàn tất việc trả lại hàng của họ.

Một email lừa đảo mà Microsoft đọc được có nội dung: "Tôi xin lỗi vì đã không trả lời sớm hơn; tờ khai thuế cá nhân của chúng tôi sẽ đơn giản và không làm mất nhiều thời gian của bạn".

"Tôi tin rằng bạn sẽ yêu cầu một bản sao các tài liệu năm gần đây nhất của chúng tôi, chẳng hạn như W-2, 1099, thế chấp, tiền lãi, khoản đóng góp, đầu tư y tế, HAS,.. mà tôi đã tải lên bên dưới".

Những email lừa đảo này chứa các liên kết sử dụng các dịch vụ theo dõi lần nhấp để tránh bị phần mềm bảo mật phát hiện và chuyển hướng người dùng đến một trang web lưu trữ tệp ZIP.

Tệp ZIP này chứa nhiều tệp giả dạng tệp PDF cho các biểu mẫu thuế khác nhau nhưng thực chất là các tệp shortcut (lnk) của Windows.

Khi được bấm đúp, các shortcut Windows này sẽ thực thi PowerShell để tải xuống tệp VBS đã được obfuscated từ một máy chủ từ xa, tệp này được lưu vào thư mục C:\Windows\Tasks\ và được thực thi.

Đồng thời, tập lệnh VBS sẽ tải xuống tệp PDF mồi nhử và mở nó trong Microsoft Edge để tránh gây nghi ngờ cho người mở. Các tệp VBS này sẽ tải xuống và thực thi mã độc GuLoader, từ đó cài đặt trojan Remcos.

Luồng tấn công của chiến dịch lừa đảo (Microsoft)

Remcos là một trojan truy cập từ xa thường được các tác tác nhân đe dọa sử dụng trong các chiến dịch lừa đảo để giành quyền truy cập ban đầu vào mạng công ty.

Với quyền truy cập này, các tác nhân đe dọa có thể đánh cắp dữ liệu và triển khai phần mềm độc hại khác trên thiết bị cũng như lây lan mã độc qua mạng.

Microsoft cho biết "mặc dù các chiêu trò social engineering như thế này rất phổ biến vào Ngày thuế và các sự kiện lớn khác, nhưng các chiến dịch này cụ thể và được nhắm mục tiêu theo cách không phổ biến".

"Mục tiêu của mối đe dọa này là các tổ chức độc quyền liên quan đến khai thuế, dịch vụ tài chính, CPA và các công ty kế toán, và các công ty dịch vụ chuyên nghiệp kinh doanh sổ sách kế toán và thuế."

Vì kế toán nắm giữ dữ liệu rất nhạy cảm cho các cá nhân và tập đoàn nên việc vi phạm dữ liệu trong loại hình tổ chức này có thể gây thiệt hại đáng kể cho một nhóm lớn đối tượng.

Vì công cụ lây nhiễm ban đầu của mã độc trong chiến dịch này là các tệp độc hại giả dạng tệp PDF, do đó người dùng nên bật hiển thị phần mở rộng của tệp trong Windows để có thể xác định các tệp đáng ngờ.

Windows shortcut là một loại tệp đặc biệt có phần mở rộng là .lnk nhưng nó không được hiển thị khi xem trong File Explorer. Điều này làm cho việc phát hiện một tệp shortcut được ngụy trang trở nên khó khăn hơn. Tuy nhiên, việc liệt kê các tệp trong File Explorer ở chế độ 'Chi tiết' sẽ cho thấy đó là shortcut của Windows, giúp bạn dễ dàng phát hiện ra hơn một chút.

Cuối cùng, người dùng không nên nhấp vào các liên kết hoặc mở tệp đính kèm trong các email trừ khi họ xác nhận xem chúng có được gửi từ một liên hệ hợp pháp hay không. Nếu không, hãy xóa email đó đi.

Nguồn: bleepingcomputer.com.