Beware of the Top Three Dominant Trickbot Trojan Campaigns of the 2019 Tax Season

這是稅收季節，網絡犯罪分子正忙於製定計劃，以盡可能多地竊取身份，資金和納稅申報表。通常，他們依靠垃圾郵件活動將臭名昭著的TrickBot銀行木馬分發給個人和企業。今年也不例外，因為IBM的X-Force部門的研究人員已經發現了多達三個主要的垃圾郵件活動，目前正在向納稅人提供TrickBot。每個廣告系列都代表在金融，人力資源或會計部門運營的信譽良好的公司發送垃圾郵件。

1月末發生的第一次垃圾郵件浪潮

1月27日，當黑客開始代表一家著名的會計公司發送轉發的可疑電子郵件時，第一次大規模的活動就出現了。所有電子郵件都共享相同的主題行 - FW：2018 EF稅收激勵計費 - 並提示收件人單擊附加的同名Excel文檔。然而，嵌入式文件不會在打開時公開實際的稅收激勵數據，而是通過其中包含的惡意宏觸發TrickBot感染。每封電子郵件的簽名都足夠詳細，看起來很合法。

第二次垃圾郵件浪潮充分利用了ADP HR服務提供商

根據該公司官員發布的官方警告 ，傳播TrickBot銀行木馬的垃圾郵件活動針對的是大型人力資源服務提供商ADP的客戶。事實上，惡意軟件參與者使用虛假的ADP電子郵件帳戶誘騙收件人點擊惡意軟件版本的URL，該URL據稱包含有關其稅務計費記錄的重要信息。那些假帳戶有：

• 相同的名稱模式 - <[員工姓名] noreply@adpnote.com>
• 統一的電子郵件主題，即"FW：CASE＃90ADP28TEFT - 稅務計費記錄"
• 一個不變的惡意鏈接 - 90ADP0304TEFT.xlsm

ADP已經解決了這個問題，敦促客戶將這些傳入的消息轉發到專門的防欺詐電子郵件進行分析。

第三次垃圾郵件波利用了Paychex的名字

第三個著名的垃圾郵件活動於3月初開始，當時著名的Paychex工資支付服務提供商的客戶開始接收電子郵件回复他們首先沒有發送的查詢。標題為"RE：Tax Verification documents"的電子郵件用於向收件人提供包含後者先前請求的數據的附件。雖然附件看起來像一個合法的Word文檔，因為它被稱為 Verification_Documents.doc，打開它會將TrickBot木馬不僅安裝到目標PC上，還安裝在任何其他網絡連接的機器上。

TrickBot攻擊越來越精細

與以前的惡意軟件分發活動不同，上述三種惡意操作看起來盡可能合法。雖然是偽造的，但攜帶TrickBot銀行特洛伊木馬的電子郵件看起來好像來自真實公司，擁有真正的註冊域名和實際員工。換句話說，很明顯負責的惡意軟件參與者掌握了魚叉式網絡釣魚技術. 更重要的是，由於這三個活動都有相似的佈局，如果他們來自同一群網絡犯罪分子就不足為奇了。