Phần mềm độc hại Emotet được phân phối dưới dạng biểu mẫu thuế W-9 giả mạo từ IRS

Một chiến dịch lừa đảo mới của Emotet đang nhắm mục tiêu đến những người nộp thuế ở Hoa Kỳ bằng cách mạo danh các biểu mẫu thuế W-9 được cho là gửi bởi Sở Thuế vụ và các công ty mà bạn làm việc cùng.

Emotet là một phần mềm độc hại lây nhiễm khét tiếng được phân phối thông qua các email lừa đảo trước đây chứa các tài liệu Microsoft Word và Excel có macro độc hại cài đặt phần mềm độc hại.

Tuy nhiên, sau khi Microsoft bắt đầu chặn macro theo mặc định trong các tài liệu Office đã tải xuống, Emotet đã chuyển sang sử dụng các tệp Microsoft OneNote có tập lệnh nhúng để cài đặt phần mềm độc hại Emotet.

Sau khi Emotet được cài đặt, phần mềm độc hại sẽ đánh cắp email của nạn nhân để sử dụng trong  các cuộc tấn công chuỗi trả lời trong tương lai , gửi thêm email spam và cuối cùng cài đặt phần mềm độc hại khác cung cấp quyền truy cập ban đầu cho các tác nhân đe dọa khác, chẳng hạn như các băng nhóm ransomware .

Emotet chuẩn bị cho mùa thuế của Hoa Kỳ

Hoạt động của phần mềm độc hại Emotet thường sử dụng các chiến dịch lừa đảo theo chủ đề trùng với các ngày lễ và hoạt động kinh doanh hàng năm, chẳng hạn như mùa thuế hiện tại của Hoa Kỳ.

Trong các chiến dịch lừa đảo mới được các nhà nghiên cứu bảo mật tại  Malwarebytes  và  Palo Alto Networks Unit42 phát hiện , phần mềm độc hại Emotet nhắm mục tiêu người dùng bằng các email chứa tệp đính kèm biểu mẫu thuế W-9 giả mạo.

Trong chiến dịch mà Malwarebytes nhìn thấy, những kẻ đe dọa gửi email có tiêu đề 'IRS Tax Forms W-9', đồng thời mạo danh một 'Thanh tra' từ Sở Thuế vụ.

Những email lừa đảo này chứa một kho lưu trữ ZIP có tên 'W-9 form.zip' chứa tài liệu Word độc hại. Tài liệu Word này đã được tăng dung lượng lên hơn 500MB để phần mềm bảo mật khó phát hiện ra nó là tài liệu độc hại.

Emotet email mạo danh IRS

Tuy nhiên, hiện tại Microsoft đang chặn macro theo mặc định, người dùng sẽ ít gặp phải sự cố khi bật macro và bị lây nhiễm khi sử dụng các tài liệu Word độc hại.

Nguồn tài liệu Emotet Word

Trong một chiến dịch lừa đảo mà Brad Duncan của Unit42 đã thấy, những kẻ đe dọa bỏ qua những hạn chế này bằng cách sử dụng các tài liệu Microsoft OneNote có các tệp VBScript nhúng cài đặt phần mềm độc hại Emotet.

Chiến dịch lừa đảo này sử dụng các email chuỗi trả lời có chứa các email giả vờ là từ các đối tác kinh doanh gửi Biểu mẫu W-9 cho bạn, như được hiển thị bên dưới.

Email chuỗi trả lời Emotet có tệp đính kèm Microsoft OneNote độc ​​hại

Các tài liệu OneNote đính kèm sẽ giả vờ được bảo vệ, yêu cầu bạn nhấp đúp vào nút 'Xem' để xem tài liệu một cách chính xác. Tuy nhiên, ẩn bên dưới nút Xem đó là một tài liệu VBScript sẽ được khởi chạy thay thế.

Tệp Microsoft OneNote độc ​​hại mạo danh biểu mẫu W-9

Khi khởi chạy tệp VBScript được nhúng, Microsoft OneNote sẽ cảnh báo người dùng rằng tệp có thể độc hại. Thật không may, lịch sử đã cho chúng ta thấy rằng nhiều người dùng bỏ qua những cảnh báo này và chỉ cho phép các tệp chạy.

Sau khi được thực thi, VBScript sẽ tải xuống Emotet DLL và chạy nó bằng regsvr32.exe.

Giờ đây, phần mềm độc hại sẽ lặng lẽ chạy trong nền, đánh cắp email, danh bạ và chờ tải trọng tiếp theo để cài đặt trên thiết bị.

Nếu bạn nhận được bất kỳ email nào tuyên bố là W-9 hoặc các biểu mẫu thuế khác, trước tiên hãy quét tài liệu bằng phần mềm chống vi-rút cục bộ của bạn. Tuy nhiên, do tính chất nhạy cảm của các biểu mẫu này, bạn không nên tải chúng lên các dịch vụ quét dựa trên đám mây như VirusTotal.

Thông thường, các biểu mẫu thuế được phân phối dưới dạng tài liệu PDF chứ không phải dưới dạng tệp đính kèm Word, vì vậy nếu bạn nhận được một biểu mẫu, bạn nên tránh mở và bật macro.

Cuối cùng, chắc chắn rằng các biểu mẫu thuế sẽ không bao giờ được gửi dưới dạng tài liệu OneNote, vì vậy hãy xóa email ngay lập tức và không mở nó nếu bạn nhận được.

Như mọi khi, cách phòng thủ tốt nhất là loại bỏ bất kỳ email nào từ những người bạn không biết và nếu bạn biết họ, trước tiên hãy liên hệ với họ qua điện thoại để xác nhận xem họ có gửi email hay không.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.