Phishing attack

マイクロソフトは、企業ネットワークへの初期アクセスを許可するリモート アクセス マルウェアを使用して、会計事務所や税務署を標的とするフィッシング キャンペーンについて警告しています。

米国では毎年恒例の納税シーズンが終わりに近づいているため、会計士はクライアントの税務書類を集めて、納税申告書を完成させて提出するために大急ぎで取り組んでいます。

このため、脅威アクターが納税申告書作成者を標的にする絶好の機会となり、忙しくないときに一般的に注意を払う悪意のあるファイルを誤って開いてしまうことを期待しています。

これはまさに、リモート アクセス トロイの木馬マルウェア Remcos をインストールするために税務専門家を標的とした新しいフィッシング詐欺で Microsoft が見たものです。

「米国の納税日が近づく中、Microsoft は、今年の 2 月から、Remcos リモート アクセス トロイの木馬 (RAT) を配信し、標的のネットワークを侵害するために、会計および納税申告の準備を行う企業を標的とするフィッシング攻撃を観測しました」と、Microsoft は新しいレポートで警告しています。

税務専門家をターゲットにする

フィッシング キャンペーンは、返品を完了するために必要な書類を送信するクライアントを装った電子メールから始まります。

Microsoft が確認したフィッシング メールには、「すぐに返信できなかったことをお詫びします。私たちの個別の納税申告書はシンプルであり、手間がかからないようにする必要があります」と書かれています。

「W-2、1099、住宅ローン、利子、寄付、医療投資、HSAなど、私が以下にアップロードした最新の書類のコピーが必要になると思います。」

税務署に送信されるフィッシングメール
税務署に送信されるフィッシングメール
出典:マイクロソフト

これらのフィッシング メールには、クリック トラッキング サービスを利用してセキュリティ ソフトウェアによる検出を回避するリンクが含まれており、最終的には ZIP アーカイブをダウンロードするファイル ホスティング サイトに誘導されます。

この ZIP アーカイブには、さまざまな納税申告書の PDF ファイルを装った多数のファイルが含まれていますが、実際には Windows のショートカットです。

2021 年の納税申告書を装った Windows ショートカットを含むアーカイブ
2021 年の納税申告書を装った Windows ショートカットを含むアーカイブ
出典:マイクロソフト

ダブルクリックすると、これらの Windows ショートカットが PowerShell を実行して、高度に難読化された VBS ファイルをリモート ホストからダウンロードし、C:WindowsTasks に保存して実行します。

同時に、VBS スクリプトはおとりの PDF ファイルをダウンロードして Microsoft Edge で開き、標的の人物による疑惑を回避します。

Microsoft は、これらの VBS ファイルが GuLoader マルウェアをダウンロードして実行し、それが Remcos リモート アクセス トロイの木馬をインストールすると述べています。

フィッシングキャンペーンの攻撃フロー
フィッシングキャンペーンの攻撃フロー
出典:マイクロソフト

Remcos は、攻撃者が企業ネットワークへの初期アクセスを取得するためにフィッシング キャンペーンでよく使用するリモート アクセス トロイの木馬です。

このアクセスを使用して、攻撃者はネットワークを介してさらに拡散し、データを盗んだり、デバイスに他のマルウェアを展開したりできます。

マイクロソフトによると、フィッシング キャンペーンでは一般的に税金関連のテーマが使用されますが、このキャンペーンは税務準備会社と個人のみを対象としており、珍しいものです。

「このようなソーシャル エンジニアリングのルアーは、Tax Day やその他の大きな話題の現在のイベントの周りでよく見られますが、これらのキャンペーンは具体的であり、珍しい方法でターゲットを絞っています。」

「この脅威の標的は、税務準備、金融サービス、公認会計士および会計事務所、および簿記と税務を扱う専門サービス会社に限定されます。」

会計士は個人や企業の非常に機密性の高いデータを保持しているため、この種の組織でのデータ侵害は、多数の人々に重大な損害を与える可能性があります。

このキャンペーンのマルウェアの最初のローダーは、PDF ファイルになりすました悪意のあるファイルであるため、疑わしいファイルを識別できるように、ユーザーがWindows でファイル拡張子の表示を有効にすることを常にお勧めします。

残念ながら、Windows ショートカットは、.lnk ファイル拡張子を使用する特殊なファイル タイプですが、ファイル エクスプローラーで表示した場合、ファイル拡張子は表示されません。

この動作により、ファイルが偽装されたショートカットであることを検出することがより困難になります。ただし、「詳細」モードでファイル エクスプローラーにファイルを一覧表示すると、それが Windows ショートカットであることが示されるため、簡単に見つけることができます。

最終的には、正当な連絡先から送信されたものかどうかを確認しない限り、電子メールのリンクをクリックしたり、添付ファイルを開いたりしてはなりません。それ以外の場合は、メールを削除してください。