Fai attenzione alle tre principali campagne Trojan Dominic Trickbot della stagione fiscale 2019
È la stagione delle tasse e i criminali informatici sono impegnati a sviluppare schemi per rubare il maggior numero possibile di identità, fondi e dichiarazioni fiscali. In genere, si basano su campagne di spam per distribuire il famigerato Trojan bancario TrickBot a privati e aziende. Quest anno non fa eccezione, in quanto i ricercatori del unità X-Force di IBM hanno rilevato fino a tre importanti campagne di spam che attualmente forniscono TrickBot ai contribuenti. Ogni campagna invia messaggi e-mail di spam per conto di una società rispettabile che opera nel settore finanziario, delle risorse umane o della contabilità.
Sommario
La prima ondata di spam ha colpito a fine gennaio
La prima grande campagna è apparso sul radar intorno al 27 gennaio quando gli hacker hanno iniziato a inviare e-mail sospette per conto di una famosa società di contabilità. Le e-mail condividevano la stessa linea tematica - FW: 2018 Fatturazione incentivi fiscali EF - e chiesero ai destinatari di fare clic su un documento Excel allegato con lo stesso nome. Invece di rivelare i dati di incentivi fiscali reali quando aperti, tuttavia, il file incorporato attiverà u infezione di TrickBot tramite le macro maligne in esso contenute. La firma di ogni e-mail era abbastanza dettagliata da sembrare 100 legittima.
Seconda ondata di spam ha approfittato del fornitore di servizi HR di ADP
La campagna di spam che diffonde il Trojan bancario TrickBot ha come target i clienti di ADP, un grande fornitore di servizi per le risorse umane, secondo un avviso ufficiale pubblicato dai funzionari della compagnia. Allo stesso modo, gli attori del malware hanno utilizzato account email falsi ADP per indurre i destinatari a fare clic su un URL maltrattato dal malware che apparentemente contiene informazioni importanti sui loro record di fatturazione fiscale. Quei falsi account hanno:
- Un modello di nome identico - <[Nome impiegato] noreply@adpnote.com>
- Un oggetto e-mail uniforme, ovvero "FW: CASE # 90ADP28TEFT - record di fatturazione fiscale"
- Un link dannoso invariabile - 90ADP0304TEFT.xlsm
ADP ha già affrontato il problema, esortando i clienti a inoltrare tali messaggi in arrivo a un e-mail di prevenzione delle frodi dedicata per analisi.
Third Spam Wave Exploited Paychex s Name
La terza importante campagna di spam è iniziata all inizio di marzo, quando i clienti del famoso fornitore di pagamenti per paghe Paychex hanno iniziato a ricevere le risposte e-mail alle richieste che non avevano inviato in primo luogo. Intitolato RE: Documenti di verifica fiscale, e-mail è servita a fornire al destinatario un file allegato contenente i dati che quest ultimo aveva precedentemente richiesto. Mentre allegato sembrava un documento Word legittimo come veniva chiamato Verification_Documents.doc, aprendolo si installava il Trojan TrickBot non solo sul PC di destinazione ma anche su qualsiasi altra macchina connessa alla rete.
Gli attacchi TrickBot stanno diventando più elaborati
A differenza delle precedenti campagne di distribuzione di malware, le tre operazioni malevoli menzionate sopra sembrano il più legittime possibile. Anche se false, le e-mail che trasportano il trojan bancario TrickBot sembrano provenire da società reali con domini registrati reali e dipendenti effettivi. In altre parole, è evidente che gli attori del malware in carica hanno imparato la tecnica dello spear phishing. Inoltre, poiché tutte e tre le campagne condividevano un layout simile, non sarebbe sorprendente se provenissero dallo stesso gruppo di criminali informatici.