Beware of the Top Three Dominant Trickbot Trojan Campaigns of the 2019 Tax Season

这是税收季节，网络犯罪分子正忙于制定计划，以尽可能多地窃取身份，资金和纳税申报表。通常，他们依靠垃圾邮件活动将臭名昭着的TrickBot银行木马分发给个人和企业。今年也不例外，因为IBM的X-Force部门的研究人员已经发现了多达三个主要的垃圾邮件活动，目前正在向纳税人提供TrickBot。每个广告系列都代表在金融，人力资源或会计部门运营的信誉良好的公司发送垃圾邮件。

1月末发生的第一次垃圾邮件浪潮

1月27日，当黑客开始代表一家着名的会计公司发送转发的可疑电子邮件时，第一次大规模的活动就出现了。所有电子邮件都共享相同的主题行 - FW：2018 EF税收激励计费 - 并提示收件人单击附加的同名Excel文档。然而，嵌入式文件不会在打开时公开实际的税收激励数据，而是通过其中包含的恶意宏触发TrickBot感染。每封电子邮件的签名都足够详细，看起来很合法。

第二次垃圾邮件浪潮充分利用了ADP HR服务提供商

根据该公司官员发布的官方警告 ，传播TrickBot银行木马的垃圾邮件活动针对的是大型人力资源服务提供商ADP的客户。事实上，恶意软件参与者使用虚假的ADP电子邮件帐户诱骗收件人点击恶意软件版本的URL，该URL据称包含有关其税务计费记录的重要信息。那些假帐户有：

• 相同的名称模式 - <[员工姓名] noreply@adpnote.com>
• 统一的电子邮件主题，即"FW：CASE＃90ADP28TEFT - 税务计费记录"
• 一个不变的恶意链接 - 90ADP0304TEFT.xlsm

ADP已经解决了这个问题，敦促客户将这些传入的消息转发到专门的防欺诈电子邮件进行分析。

第三次垃圾邮件波利用了Paychex的名字

第三个着名的垃圾邮件活动于3月初开始，当时着名的Paychex工资支付服务提供商的客户开始接收电子邮件回复他们首先没有发送的查询。标题为"RE：Tax Verification documents"的电子邮件用于向收件人提供包含后者先前请求的数据的附件。虽然附件看起来像一个合法的Word文档，因为它被称为'Verification_Documents.doc'，打开它会将TrickBot木马不仅安装到目标PC上，还安装在任何其他网络连接的机器上。

TrickBot攻击越来越精细

与以前的恶意软件分发活动不同，上述三种恶意操作看起来尽可能合法。虽然是伪造的，但携带TrickBot银行特洛伊木马的电子邮件看起来好像来自真实公司，拥有真正的注册域名和实际员工。换句话说，很明显负责的恶意软件参与者掌握了鱼叉式网络钓鱼技术. 更重要的是，由于这三个活动都有相似的布局，如果他们来自同一群网络犯罪分子就不足为奇了。