.
Os últimos dias da temporada de impostos nos Estados Unidos são bastante estressantes, lidando com prazos e, cada vez mais, golpes online. Agora vem outra, uma campanha de phishing sofisticada e contínua por um grupo de ameaças apelidado de “Tactical#Octopus” que está usando iscas relacionadas a impostos para espalhar malware.
Pesquisadores de ameaças da empresa de segurança cibernética Securonix disseram que a gangue – que pode estar baseada na Rússia – envia e-mails contendo um arquivo zip protegido por senha (com a senha incluída no corpo do e-mail) com nomes que parecem estar relacionados a impostos, como TitleContractDocs.zip ou JRCLIENTCOPY3122.zip.
O grupo Tactical#Octopus, que tem como alvo pessoas nos Estados Unidos, também usa o que parecem ser formulários de impostos e contratos válidos.
“Alguns dos documentos de atração observados continham documentos fiscais W-2 de funcionários, I-9 e contratos de compra de imóveis”, escreveram os pesquisadores em um relatório.
Como na maioria dos golpes de phishing, os problemas começam quando a vítima clica no arquivo zip. Dentro há dois arquivos, um único arquivo de imagem – geralmente um arquivo .png – e um arquivo de atalho (.lnk). Clicar duas vezes no atalho inicia o ataque.
“Por trás do anexo do documento atrativo está um malware interessante que apresenta AV furtivo [antivirus] táticas de evasão, camadas de ofuscação de código e múltiplos canais C2 (comando e controle)”, escreveram os pesquisadores, acrescentando que o comprometimento inicial é bastante complexo.
“A tática inicial de execução de código por meio da execução de arquivo .lnk é trivial e usada por muitos agentes de ameaças atualmente. No entanto, o código PowerShell e VBScript usado é exclusivo e sofisticado, especialmente do ponto de vista de prevenção e ofuscação de AV, tornando esta campanha importante para assistir .”
É um ataque em várias etapas
Depois que o arquivo de atalho é aberto, o VBScript fortemente ofuscado é iniciado, contendo frases sem sentido usadas para evitar a detecção por ferramentas antivírus. Em seguida, vem o código do PowerShell, que inclui métodos de ofuscação não convencionais, incluindo a manipulação de cadeias de texto puxadas para ele, passando-o para uma função chamada “Unrhe9” e convertido em sintaxe válida do PowerShell, que é então executada.
A próxima etapa da execução do PowerShell também inclui técnicas de ofuscação semelhantes. O código, quando legível, parece semelhante ao código que foi visto na selva executando outros ataques envolvendo Cobalt Strike e trojans de acesso remoto backdoor (RATs), como Kovter.
Depois que a carga binária – também ofuscada – é iniciada e um dos três servidores C2 vinculados à campanha é contatado, os invasores podem acessar o sistema de destino. Os pesquisadores da Securonix viram o binário ieinstal.exe capturando dados da área de transferência e registrando as teclas digitadas assim que estava em funcionamento.
Dois dos três endereços IP C2 foram registrados em uma empresa chamada Petersburg Internet Network na Rússia. O terceiro endereço foi registrado na Des Capital nos Estados Unidos.
“Isso pode indicar origens russas”, escreveram os pesquisadores. “No entanto, a possibilidade de operações de bandeira falsa não pode ser descartada neste momento. … Visto que todas as amostras identificadas pela Securonix Threat Research são bastante recentes, está claro que esta campanha ainda está em andamento. Empresas e indivíduos devem ser extremamente vigilantes ao abrir impostos e-mails relacionados, especialmente à medida que o prazo de impostos nos EUA se aproxima.”
Temporada de impostos e golpistas
A temporada de impostos nos EUA normalmente é um período movimentado para golpistas, devido à enorme quantidade de dados pessoais, financeiros e corporativos sendo coletados e enviados, a pressão crescente de prazos de arquivamento próximos (o prazo deste ano é 18 de abril) e a possibilidade de roubar restituições de impostos. Além disso, mais de 90 por cento das declarações fiscais são arquivado onlinede acordo com o IRS.
O mais comum são campanhas de phishing ou criminosos que fingem ser do IRS ou outro funcionário do governo.
Nas últimas semanas, o IRS divulgou uma série de alertas alertando os contribuintes sobre golpes – que a agência chama de “The Dirty Dozen” – e como identificá-los. Um de 21 de março avisou sobre campanhas de texto e e-mail, incluindo contras de phishing e smishing (mensagem de texto SMS).
“Os golpes de e-mail e texto são implacáveis, e os golpistas costumam usar a temporada de impostos como forma de enganar as pessoas”, disse o comissário do IRS, Danny Werfel, em comunicado.
“Com as pessoas ansiosas para receber as informações mais recentes sobre um reembolso ou outra questão tributária, os golpistas costumam se passar por IRS, uma agência tributária estadual ou outros no setor tributário em e-mails e textos. As pessoas devem ser incrivelmente cautelosas com mensagens inesperadas como esta isso pode ser uma armadilha, especialmente durante a temporada de arquivamento.” ®
.
