Istraživači sajber sigurnosti otkrili su sofisticiranu kampanju malicioznog softvera koja iskorištava poreznu sezonu za ciljanje finansijskih organizacija i pojedinaca širom svijeta.
Kampanja uključuje phishing emailove koji se lažno predstavljaju za porezne agencije i finansijske institucije, isporuku malicioznog softvera i prikupljanje osjetljivih akreditiva.
Hakeri koji stoje iza ove kampanje koriste teme vezane za poreze, kao što su ažuriranje računa, zakašnjela plaćanja ili povrat poreza, kako bi namamili žrtve.
Čini se da e-poruke često dolaze od legitimnih entiteta kao što su HM Revenue & Cars (HMRC) u Velikoj Britaniji, Intuit u SAD-u ili myGov u Australiji.
Sigurnosni analitičari u ProofPoint-u su primijetili da svi ovi e-mailovi uključuju veze do phishing web stranica ili priloge koji sadrže maliciozni softver.
.webp)
Na primjer, neki phishing emailovi tvrde da su poreski računi primatelja potrebni hitno ažuriranje i usmjeravaju ih na lažne stranice za prijavu HMRC-a dizajnirane za krađu kredencijala.
.webp)
Druge e-poruke oponašaju Intuit tako što obavještavaju korisnike o odbijenim poreznim obrascima i vode ih na web stranice za prikupljanje akreditiva sa sumnjivim URL-ovima.
,%20credential%20phishing%20landing%20page%20(right)%20(Source%20-%20ProofPoint).webp)
Osim toga, poruke koje oponašaju Australian Taxation Office oponašaju myGov, pozivajući korisnike da riješe neriješene porezne probleme putem phishing stranica.
,%20phishing%20landing%20page%20(right)%20(Source%20-%20ProofPoint).webp)
Osim phishinga, kampanja isporučuje napredne sadržaje malicioznog softvera. Značajni primjeri uključuju: –
Rhadamanthys Malware : distribuira se putem lažnih e-poruka o poreznom softveru koji sadrže maliciozne JavaScript datoteke hostovane na Microsoft Azure. Skripta izvršava PowerShell komande za preuzimanje i instalaciju Rhadamanthysa.
Primjer URL-a:hxxps://drakesoftware[.]blob[.]core[.]windows[.]net/drakesoftware/Invoice%2352223.html
Voldemort Malware : Backdoor koji koristi Google Sheets za komunikaciju naredbe i kontrole. Prerušava se kao PDF fajl povezan u phishing e-porukama lažnih poreznih agencija.
Lanac napada: phishing email → Lažni PDF → Izvršavanje Python skripte → DLL preuzimanje → Kompromitacija sistema.
Ova kampanja je uticala na hiljade organizacija u više zemalja. U Velikoj Britaniji, phishing napadi na temu HMRC-a bili su ciljani na kompanije s web stranicama za krađu akreditiva.
U SAD-u je samo u januaru 2025. poslano preko 40.000 phishing e-poruka sa temom Intuit.
U međuvremenu, u Švicarskoj su kampanje prevare predstavljale savezne porezne vlasti, tražeći lažne uplate na račune Revolut-a.
Sajber-napadi sa temom poreza posebno su efikasni zbog svog vremena i uočene hitnosti. Primaoci su često primorani da brzo reaguju na takvu komunikaciju, što ih čini ranjivim na prevare.
Finansijske organizacije su glavne mete zbog njihove kritične uloge u obradi osjetljivih podataka i transakcija.
Da bi ublažile ove prijetnje, organizacije bi trebale edukovati zaposlene o prepoznavanju pokušaja krađe identiteta, implementirati višefaktorsku autentifikaciju za sve račune i implementirati napredne sisteme filtriranja e-pošte za otkrivanje malicioznih priloga i veza.
Osim toga, redovno ažuriranje antivirusnog softvera i praćenje indikatora kompromisa (IoC) ključni su koraci za osiguranje robusne sigurnosti.
Izvor: CyberSecurityNews
