駭客鎖定美國報稅季,發起網路釣魚攻擊

美國報稅季即將到來,駭客鎖定納稅人發起攻擊行動,以稅務相關名義寄送釣魚郵件,藉此將NetWire或Remcos等遠端木馬程式(Remote Access Trojan, RAT)植入納稅人電腦,進而竊取機敏資料。

 

資安業者Cybereason發現駭客利用木馬程式NetWire與Remcos,針對納稅人進行攻擊。根據美國財務部統計,2019年度之個人所得稅,逾9成稅收係使用電子系統進行申報,因此許多納稅人之電腦可能存放個人財務等機敏資料,進而成為駭客覬覦之目標。

 

駭客使用木馬程式NetWire鎖定美國納稅人,非單一攻擊事件,此次事件之所以引起資安業者Cybereason關注,係因駭客採用各式迴避偵測手法,如刻意於釣魚郵件中夾帶高達7MB之惡意文件檔案,防毒軟體可能會因檔案過大而略過掃描防護。此外,駭客隱匿木馬程式之方式相當繁複,首先將木馬程式NetWire或Remcos植入圖片檔案,爾後使用合法OpenVPN用戶端應用程式,以側面加載(Side Loading)之方式於受駭電腦執行惡意DLL檔案,藉此下載並植入木馬程式NetWire或Remcos,最後再使用合法應用程式「記事本」程式(notepad.exe)執行木馬程式。

 

資安業者Cybereason指出,木馬程式NetWire與Remcos皆可進一步協助駭客下載並執行其他惡意檔案(Payload),甚至包含螢幕截圖等功能,前者可用於蒐集受駭電腦資訊、竊取瀏覽器儲存之帳密與上網紀錄等,後者則允許駭客遠端執行Shell指令與竊取剪貼簿內容。

Reference

資料來源:

https://www.cybereason.com/blog/cybereason-exposes-malware-targeting-us-taxpayers

https://www.zdnet.com/article/us-taxpayers-targeted-in-netwire-remcos-trojan-attack-wave/

Cybereason Exposes Campaign Targeting US Taxpayers with NetWire and Remcos Malware