Tylera Crossa
Opublikowany: 7 kwietnia 2023 r.
Podczas gdy składanie zeznań podatkowych online może znacznie ułatwić cały proces, ugrupowanie cyberprzestępcze wykorzystuje eFile, autoryzowaną przez IRS usługę podatkową, aby nakłaniać użytkowników do pobierania złośliwego oprogramowania na ich urządzenia.
Analitycy bezpieczeństwa odkryli, że eFile zostało naruszone przez hakerów, którzy ukryli szkodliwy kod w witrynie. Kod był podstępnym plikiem JavaScript oznaczony jako „popper.js” i ładował fałszywy komunikat o błędzie na prawie każdej stronie witryny.
Fałszywy komunikat o błędzie ostrzegał użytkowników, że strona nie może zostać osiągnięta, i dostarczał użytkownikom link do aktualizacji przeglądarki. Ta „aktualizacja” zawiera ukryty złośliwy kod, który zachęca użytkowników do pobrania innego pliku o nazwie „update.exe”. To drugie pobieranie zawiera większość złośliwego oprogramowania.
Wyjątkowość popper.js polega na tym, że używa zaciemnionego kodu do ukrycia połączenia z infoamanewonliag[.]online, który został zarejestrowany w VirusTotal 12 marca i miał ostatnią aktualizację 17 marca. Tego samego dnia użytkownicy Reddit zaczęli tworzyć posty odnoszące się do obaw związanych z nagłymi komunikatami o błędach SSL eFile, które pojawiały się na ich ekranach. Adres IP tego połączenia jest również hostowany na Alibaba.
Ponieważ kod został wykryty dopiero 1 kwietnia, oznacza to, że złośliwe oprogramowanie miało kilka tygodni na zainfekowanie urządzeń. W styczniu gang ransomware LockBit twierdził, że zhakował eFile. Chociaż pozornie nie doszło do ataku, może to wyjaśniać, w jaki sposób grupa była w stanie starannie zorganizować szeroko zakrojony, ale subtelny atak na witrynę internetową.
Aktorzy wykorzystujący zagrożenie wykorzystali niejawne zaufanie użytkowników do usługi wspieranej przez IRS i niestety nie ma możliwości określenia pełnego zakresu sytuacji, liczby użytkowników, których to dotyczyło, ani dokładnie tego, co uzyskali aktorzy. Opinia publiczna powinna dowiedzieć się więcej, gdy eFile wyda oświadczenie na temat sytuacji.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.safetydetectives.com/news/irs-authorized-tax-service-efile-contains-malicious-link/
- :Jest
- $W GÓRĘ
- 1
- 7
- a
- Zdolny
- O nas
- aktorzy
- adres
- adresowanie
- Korzyść
- Alibaba
- i
- Inne
- kwiecień
- AS
- atakować
- awatara
- z powrotem
- BE
- rozpoczął
- przeglądarka
- by
- nazywa
- CAN
- ostrożnie
- twierdził,
- kod
- Obawy
- połączenie
- zawiera
- Krzyż
- dzień
- wykryte
- Ustalać
- urządzenia
- odkryty
- pobieranie
- łatwiej
- błąd
- Każdy
- dokładnie
- Wyjaśniać
- rozległy
- filet
- Złożenie
- pełny
- Gang
- Zarządzanie
- hacked
- hakerzy
- Have
- pomoc
- Ukryty
- Ukryj
- hostowane
- W jaki sposób
- HTTPS
- in
- IP
- Adres IP
- IT
- JEGO
- styczeń
- JAVASCRIPT
- Wiedzieć
- Nazwisko
- Ostatnia aktualizacja
- LINK
- Partia
- robić
- Dokonywanie
- malware
- wiele
- March
- znaczy
- wiadomość
- wiadomości
- jeszcze
- prawie
- uzyskane
- of
- on
- Online
- strona
- Ludzie na
- plato
- Analiza danych Platona
- PlatoDane
- muzyka pop
- Wiadomości
- wygląda tak
- pod warunkiem,
- publiczny
- ransomware
- osiągnięty
- zarejestrowany
- prasowe
- Badacze
- taki sam
- zakres
- Ekrany
- druga
- usługa
- kilka
- powinien
- sytuacja
- SSL
- Zestawienie sprzedaży
- nagły
- podatek
- obsługa podatkowa
- Podatki
- że
- Połączenia
- ich
- groźba
- podmioty grożące
- do
- Zaufaj
- wyjątkowy
- Aktualizacja
- Użytkownicy
- Droga..
- webp
- Strona internetowa
- tygodni
- Co
- który
- KIM
- cały
- w
- by
- Twój
- zefirnet