IRS 認可の税務サービスの電子ファイルに悪意のあるリンクが含まれている

タイラー・クロス
発行日： 2023 年 4 月 7 日

オンラインで税金を申告することで、プロセス全体がはるかに簡単になりますが、脅威アクターは、IRS が承認した税務サービスである eFile を使用して、ユーザーをだましてマルウェアをデバイスにダウンロードさせています。

セキュリティ研究者は、Web サイトに悪意のあるコードを隠したハッカーによって eFile が侵害されたことを発見しました。 このコードは、「popper.js」と呼ばれる悪質な JavaScript ファイルであり、Web サイトのほぼすべてのページに誤ったエラー メッセージをロードしていました。

この誤ったエラー メッセージは、ページにアクセスできないことをユーザーに警告し、ブラウザーを更新するためのリンクをユーザーに提供していました。 この「アップデート」には、ユーザーに「update.exe」という別のファイルをダウンロードするように促す悪意のあるコードが隠されています。 この XNUMX 番目のダウンロードには、マルウェアの大部分が含まれています。

popper.js のユニークな点は、難読化されたコードを使用して infoamanewonliag[.]online への接続を隠していることです。これは 12 月 17 日に VirusTotal に登録され、XNUMX 月 XNUMX 日に最後の更新が行われました。Reddit のユーザーが作成を開始したのと同じ日です。は、画面にポップアップする eFile の突然の SSL エラー メッセージについての懸念に対処する投稿を行いました。 この接続の IP アドレスも Alibaba でホストされています。

コードは 1 月 XNUMX 日まで検出されなかったため、マルウェアが人々のデバイスに感染するまでに数週間かかったということです。 XNUMX 月には、LockBit ランサムウェア ギャングが eFile をハッキングしたと主張しました。 攻撃はなかったように見えますが、あるグループが Web サイトに対する大規模かつ巧妙な攻撃をどのように慎重に組織化できたかを説明している可能性があります。

脅威アクターは、IRS が支援するサービスでユーザーが持っていた暗黙の信頼を利用しました。残念ながら、状況の全容、影響を受けたユーザーの数、脅威アクターが入手した正確な情報を特定する方法はありません。 eFileが状況に関する声明を発表したら、一般の人々はもっと知る必要があります.

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.safetydetectives.com/news/irs-authorized-tax-service-efile-contains-malicious-link/