美國報稅季即將到來,駭客鎖定納稅人發起攻擊行動,以稅務相關名義寄送釣魚郵件,藉此將NetWire或Remcos等遠端木馬程式(Remote Access Trojan, RAT)植入納稅人電腦,進而竊取機敏資料。
資安業者Cybereason發現駭客利用木馬程式NetWire與Remcos,針對納稅人進行攻擊。根據美國財務部統計,2019年度之個人所得稅,逾9成稅收係使用電子系統進行申報,因此許多納稅人之電腦可能存放個人財務等機敏資料,進而成為駭客覬覦之目標。
駭客使用木馬程式NetWire鎖定美國納稅人,非單一攻擊事件,此次事件之所以引起資安業者Cybereason關注,係因駭客採用各式迴避偵測手法,如刻意於釣魚郵件中夾帶高達7MB之惡意文件檔案,防毒軟體可能會因檔案過大而略過掃描防護。此外,駭客隱匿木馬程式之方式相當繁複,首先將木馬程式NetWire或Remcos植入圖片檔案,爾後使用合法OpenVPN用戶端應用程式,以側面加載(Side Loading)之方式於受駭電腦執行惡意DLL檔案,藉此下載並植入木馬程式NetWire或Remcos,最後再使用合法應用程式「記事本」程式(notepad.exe)執行木馬程式。
資安業者Cybereason指出,木馬程式NetWire與Remcos皆可進一步協助駭客下載並執行其他惡意檔案(Payload),甚至包含螢幕截圖等功能,前者可用於蒐集受駭電腦資訊、竊取瀏覽器儲存之帳密與上網紀錄等,後者則允許駭客遠端執行Shell指令與竊取剪貼簿內容。
資料來源:
https://www.cybereason.com/blog/cybereason-exposes-malware-targeting-us-taxpayers
https://www.zdnet.com/article/us-taxpayers-targeted-in-netwire-remcos-trojan-attack-wave/
Cybereason Exposes Campaign Targeting US Taxpayers with NetWire and Remcos Malware