Os cibercriminosos estão sempre procurando brechas para praticarem os seus golpes. Agora, por exemplo, a Microsoft está alertando sobre uma campanha de phishing direcionada a empresas de contabilidade e preparadores fiscais com malware de acesso remoto que permite o acesso inicial a redes corporativas. Os hackers estão atentos aos prazos de pagamento de impostos e estão usando isso para os seus golpes.
Os alvos são os norte-americanos, já que, por lá, está chegando ao final de sua temporada anual de impostos. Os contadores estão se esforçando para reunir os documentos fiscais dos clientes para preencher e arquivar suas declarações fiscais. Aqui no Brasil, estamos em temporada de imposto de renda, o que requer atenção também.
Devido a isso, torna-se um momento ideal para os agentes de ameaças visarem os preparadores fiscais, esperando que eles abram por engano arquivos maliciosos com os quais eles geralmente teriam mais cuidado quando menos ocupados. Isso é exatamente o que a Microsoft vê em um novo golpe de phishing direcionado a profissionais de impostos para instalar o malware trojan de acesso remoto Remcos.
Com a aproximação do Dia do Imposto dos EUA, a Microsoft observou ataques de phishing direcionados a empresas de contabilidade e preparação de declarações fiscais para entregar o trojan de acesso remoto Remcos (RAT) e comprometer as redes de destino a partir de fevereiro deste ano.
Campanha de phishing mira em contadores
A campanha de phishing começa com e-mails que fingem ser clientes enviando os documentos necessários para concluir sua devolução. “Peço desculpas por não responder antes; nossa declaração de imposto individual deve ser simples e não exigir muito do seu tempo”, diz um e-mail de phishing visto pela Microsoft. “Acredito que você exigiria uma cópia de nossos documentos do ano mais recente, como W-2s, 1099s, hipotecas, juros, doações, investimentos médicos, HSAs e outros que carreguei abaixo.”
E-mails de phishing
Esses e-mails de phishing contêm links que utilizam serviços de rastreamento de cliques para evitar a detecção por software de segurança e, por fim, levam a um site de hospedagem de arquivos que baixa um arquivo ZIP. Este arquivo ZIP contém vários arquivos que fingem ser arquivos PDF para vários formulários de impostos, mas na verdade são atalhos do Windows.
Quando clicados duas vezes, esses atalhos do Windows executam o PowerShell para baixar um arquivo VBS fortemente ofuscado de um host remoto, que é salvo em C:\Windows\Tasks\ e executado. Ao mesmo tempo, o script VBS fará o download de um arquivo PDF falso e o abrirá no Microsoft Edge para evitar suspeitas por parte da pessoa visada.
A Microsoft diz que esses arquivos VBS irão baixar e executar o malware GuLoader, que por sua vez, instala o trojan de acesso remoto Remcos.
Remcos é um trojan de acesso remoto que os agentes de ameaças geralmente usam em campanhas de phishing para obter acesso inicial a redes corporativas. Usando esse acesso, os agentes de ameaças podem se espalhar ainda mais pela rede, roubando dados e implantando outros malwares em um dispositivo.
A Microsoft diz que, embora as campanhas de phishing geralmente usem temas relacionados a impostos, essa campanha é incomum, pois visa apenas empresas e indivíduos de preparação de impostos.