Microsoft memperingatkan kampanye phishing yang menargetkan perusahaan akuntansi dan pembuat pajak dengan malware akses jarak jauh yang memungkinkan akses awal ke jaringan perusahaan.
Dengan AS mencapai akhir musim pajak tahunannya, akuntan berebut mengumpulkan dokumen pajak klien untuk melengkapi dan mengajukan pengembalian pajak mereka.
Oleh karena itu, ini merupakan waktu yang ideal bagi pelaku ancaman untuk menargetkan pembuat pajak, dengan harapan bahwa mereka secara tidak sengaja membuka file berbahaya yang umumnya akan lebih berhati-hati saat tidak terlalu sibuk.
Inilah yang dilihat Microsoft dalam penipuan phishing baru yang menargetkan profesional pajak untuk menginstal malware trojan akses jarak jauh Remcos.
“Mendekati Hari Pajak AS, Microsoft telah mengamati serangan phishing yang menargetkan perusahaan akuntansi dan persiapan pengembalian pajak untuk mengirimkan trojan akses jarak jauh (RAT) Remcos dan membahayakan jaringan target mulai Februari tahun ini,” Microsoft memperingatkan dalam laporan baru.
Menargetkan profesional pajak
Kampanye phishing dimulai dengan email yang berpura-pura menjadi klien yang mengirimkan dokumen yang diperlukan untuk menyelesaikan pengembalian mereka.
“Saya minta maaf tidak menanggapi lebih awal; pengembalian pajak individu kami harus sederhana dan tidak memerlukan banyak waktu Anda,” membaca email phishing yang dilihat oleh Microsoft.
“Saya yakin Anda akan memerlukan salinan dokumen tahun terakhir kami, seperti W-2, 1099, hipotek, bunga, sumbangan, investasi medis, HSA, dan sebagainya yang telah saya unggah di bawah.”
Sumber: Microsoft
Email phishing ini berisi tautan yang memanfaatkan layanan pelacakan klik untuk menghindari deteksi oleh perangkat lunak keamanan, dan pada akhirnya mengarah ke situs hosting file yang mengunduh arsip ZIP.
Arsip ZIP ini berisi banyak file yang berpura-pura menjadi file PDF untuk berbagai formulir pajak tetapi sebenarnya adalah pintasan Windows.
Sumber: Microsoft
Saat diklik dua kali, pintasan Windows ini akan menjalankan PowerShell untuk mengunduh file VBS yang sangat disamarkan dari host jarak jauh, yang disimpan ke C:\Windows\Tasks\ dan dijalankan.
Pada saat yang sama, skrip VBS akan mengunduh file PDF umpan dan membukanya di Microsoft Edge untuk menghindari kecurigaan dari orang yang ditargetkan.
Microsoft mengatakan bahwa file VBS ini akan mengunduh dan mengeksekusi malware GuLoader, yang pada gilirannya, menginstal trojan akses jarak jauh Remcos.
Sumber: Microsoft
Remcos adalah trojan akses jarak jauh yang mengancam aktor biasanya digunakan dalam kampanye phishing untuk mendapatkan akses awal ke jaringan perusahaan.
Dengan menggunakan akses ini, pelaku ancaman dapat menyebar lebih jauh melalui jaringan, mencuri data, dan menyebarkan malware lain di perangkat.
Microsoft mengatakan bahwa meskipun kampanye phishing biasanya menggunakan tema terkait pajak, kampanye ini tidak biasa karena hanya menargetkan perusahaan dan individu penyiapan pajak.
“Sementara iming-iming rekayasa sosial seperti ini biasa terjadi di sekitar Hari Pajak dan peristiwa terkini topik besar lainnya, kampanye ini spesifik dan ditargetkan dengan cara yang tidak biasa.”
“Target ancaman ini adalah organisasi eksklusif yang berurusan dengan persiapan pajak, layanan keuangan, kantor akuntan dan akuntan, dan perusahaan jasa profesional yang berurusan dengan pembukuan dan pajak.”
Karena akuntan menyimpan data yang sangat sensitif untuk individu dan perusahaan, pelanggaran data dalam jenis organisasi ini dapat membahayakan sekelompok besar orang secara signifikan.
Karena pemuat awal untuk malware dalam kampanye ini adalah file berbahaya yang meniru file PDF, kami selalu menyarankan pengguna tersebut aktifkan tampilan ekstensi file di Windows sehingga mereka dapat mengidentifikasi file yang mencurigakan.
Sayangnya, pintasan Windows adalah jenis file khusus yang menggunakan ekstensi file .lnk tetapi tidak menampilkan ekstensi file saat ditampilkan di File Explorer.
Perilaku ini membuat pendeteksian bahwa file adalah pintasan yang disamarkan menjadi lebih sulit. Namun, daftar file di File Explorer dalam mode ‘Detail’ akan menunjukkan bahwa itu adalah Pintasan Windows, membuatnya sedikit lebih mudah dikenali.
Pada akhirnya, tidak seorang pun boleh mengklik tautan di email atau membuka lampiran kecuali mereka mengonfirmasi apakah tautan tersebut dikirim dari kontak yang sah. Jika tidak, hapus email tersebut.
