Astaroth Malware Moves in on Cloudflare Workers to Evade Detection

Astaroth Malware Moves in on Cloudflare Workers to Evade Detection screenshot

在最近的新聞中,一篇關於Astaroth傳播的報導,一個困擾用戶的無文件惡意軟件引起了互聯網安全界的注意。此威脅運行的系統工具使用複雜的附加鏈,該鏈不使用任何可執行文件來秘密執行其操作。 在公佈的報告之後,阿斯塔羅斯競選活動背後的團體決定改變他們的策略 。具體而言,他們所做的是繼續使用Cloudflare Workers通過試圖躲避檢測來繼續他們的活動。 該過程分幾個階段完成,如下所述。 第一階段 活動背後的演員通過使用經典的社會工程計劃開始他們的工作。他們所做的是發送一條消息,該消息看起來像組織針對計費或審計請求獲得的通常的自動電子郵件響應。還使用了一個HTML附件,它不會試圖隱藏它確實是一個HTML文件。現在這是一個使用HTML的簡單案例,因為它專門用於混淆和包含Javascript代碼。 它從一個簡單的Base64字符串到ArrayBuffer函數開始,然後是用於執行下一步攻擊的Base64編碼的URL。第三部分用於根據URL在瀏覽器內存中生成blob對象,並在瀏覽器會話中下載。文件的填充部分對該過程沒有貢獻。 通過使用Cloudflare,處理參與者正在添加一層安全性,其中自動分析工具或沙箱將接收挑戰頁面,而不是Astaroth的實際有效負載。 Cloudflare IP...

于September 5, 2019發表在Computer Security

Gaming Cheaters Hit by Data-Stealing Baldr Malware Threat

Gaming Cheaters Hit by Data-Stealing Baldr Malware Threat screenshot

影響玩家和遊戲公司的遊戲行業的一個大問題是作弊,特別是當它發生在多玩家遊戲中時,作弊提供了一種獲得優於對手的優勢的簡單方法。目前市場上有各種作弊工具,並且由於它們在遊戲玩家中非常受歡迎,惡意軟件創建者已經確定了傳播惡意應用程序的新領域。一種名為Baldr的新惡意軟件威脅於2019年初進入現場,竊取了遊戲帳戶密碼和敏感的用戶詳細信息。最有可能的是,它是通過在YouTube上推廣的作弊軟件傳播的。 YouTube上游戲玩家的廣告作弊通常是由那些沒有意識到與他們試圖銷售的工具相關的風險的人製作的。這些視頻承諾在線遊戲玩家在遊戲中作弊的機會,而可以下載特定作弊工具的鏈接放在視頻的信息框中。研究人員還在Telegram聊天和Discord服務上確定了遊戲頻道的下載鏈接。提供免費下載的流行遊戲的黑客版本代表Baldr的另一個分發渠道和類似的威脅,但是,這種類型的惡意軟件也可能捆綁在加密版本的加密貨幣挖掘軟件中。 Baldr惡意軟件被用作多層威脅 眾所周知,Baldr具有多級攻擊系統。它似乎是一個非常危險的工具,因為它能夠竊取信用卡號碼,各種其他敏感信息以及遊戲站點和其他平台的登錄憑據。此外,惡意軟件只需安裝一次即可打包所有需要的信息並將其發送給攻擊者的主機。 Fortnite,Apex Legends和Counter Strike Global Offensive等多人遊戲是威脅演員的主要目標。雖然看似公正,因為在競爭性遊戲中作弊本身就是一種犯罪行為,但這些攻擊可能會造成超出遊戲行業的傷害。...

于September 5, 2019發表在Computer Security

'伟大的地狱公爵'DLL恶意软件攻击揭示了恶毒的Astaroth无文件恶意软件威胁

'伟大的地狱公爵'DLL恶意软件攻击揭示了恶毒的Astaroth无文件恶意软件威胁 screenshot

微軟最近放寬了一個非常面紗不愉快fileless惡意軟件的作品而不必成為受害者的機器上安裝竊取數據- 亞斯她錄 。 直接從神秘書籍“Ars Goetia”和“所羅門之鑰”中以同名惡魔命名,據說通過虛榮和懶惰誘惑他的受害者,這種惡意軟件自2017年以來一直在流通。它主要用於從南美和歐洲公司竊取有針對性攻擊的數據,這些攻擊使用魚叉式網絡釣魚作為入境點。 根據微軟後衛APT的研究員Andrea Lelli的說法,有一些東西可以讓這種特殊感染變得獨一無二,因為它具有根據某些傳統防病毒程序的檢測方法隱身滲透的能力。 根據Lelli的說法,Astaroth以個人憑證,鍵盤記錄等信息竊取而臭名昭著,這些數據隨後被洩露到遠程服務器。然後,攻擊者使用這些數據進行金融盜竊,將個人信息出售給其他犯罪分子,甚至跨網絡橫向移動。 Astaroth如何感染系統 攻擊通常在受害者打開電子郵件中的鏈接時開始,該電子郵件是在考慮使用魚叉式網絡釣魚的情況下發生的 - 這是攻擊者在其操作過程中使用的社交工程工具。這種騙局旨在打開鏈接,這會打開終端命令的快捷方式文件,最終下載並運行JavaScript代碼,從而使感染成為可能。該腳本下載並運行兩個DLL文件,用於處理所收集信息的記錄和上載,同時假裝是合法的系統進程。 該過程適用於基於簽名的檢測工具,因為只下載或安裝DLL文件。這使得它幾乎沒有機會在此過程中掃描並捕獲攻擊。自2017年末以來,這種方法使得Astaroth能夠在雷達下飛行並在網上茁壯成長,而不依賴於木馬下載或任何漏洞攻擊。 無文件惡意軟件檢測措施...

于July 15, 2019發表在Computer Security

Compromised BleachBit Website Infects Users with the Data-Stealing AZORult Malware

Compromised BleachBit Website Infects Users with the Data-Stealing AZORult Malware screenshot

BleachBit是Linux,Windows和macOS用戶中眾所周知的應用程序,他們希望通過刪除可處理的數據來回收磁盤空間。 BleforBit在Sourceforge上下載量超過一百萬,已經獲得了巨大的發展勢頭,而網絡騙子已經找到了一種方法來將該工具的巨大受歡迎程度貨幣化。他們創建了官方BleachBit網站的虛假副本,通過該網站傳播了一個名為AZORult的信息竊取惡意軟件威脅。 對於AZORult來說,眾所周知它自2016年以來一直存在並且它非常容易獲得 - 有興趣的人可以在俄羅斯黑客論壇上以100美元的價格購買它。它能夠收集各種敏感用戶數據,如保存的登錄,登錄憑據,桌面和文本文件,瀏覽數據,加密貨幣數據等等。該威脅還可以充當其他惡意軟件的下載程序,而研究人員最近發現,AZORult的變體可以在受感染的計算機上創建隱藏的管理員帳戶以建立遠程訪問協議連接。 吸引人的網站經常被網絡騙子所利用 虛假的BleachBit網站看起來很吸引人,因為惡意軟件演員設計它類似於應用程序的原始頁面,重新創建它的一般想法和細節。也可能欺騙許多用戶的是攻擊者使用的域名 - “bleachbitcleaner [。] com”。網站上也有一些警鐘,更有經驗的用戶應該注意到 - 網站上只有一個鏈接可用,而嵌入式在線教程則是2009年發布的測試版程序。 在發現假的BleachBit網站後,研究人員將有效載荷跟踪追溯到文件共享平台Dropbox。 AZORult發送被盜數據的服務器也可以被追踪 - 它被命名為“twooo [。]...

于September 17, 2019發表在Computer Security

Twitter Temporarily Suspends SMS-Tweeting Feature After CEO's Account is Abused by Hacker Group

Twitter Temporarily Suspends SMS-Tweeting Feature After CEO's Account is Abused by Hacker Group screenshot

在當今社交媒體的世界裡,任何所說的都可以在任何時候用來對付你。事實證明,推特宣布,在黑客濫用和發布兩個高調賬戶(一個屬於Twitter首席執行官和聯合創始人傑克多爾西的賬戶)之後,它將通過短信功能關閉其推文,時間不確定。 通過短信功能潛在地利用Twitter推文中的漏洞,黑客能夠劫持多爾西的推特信息並發布種族辱罵以及針對Twitter總部的假炸彈威脅。正如你想像的那樣,這些推文激起了一些嚴肅的騷動和擔憂。他在Twitter上發布了超過420萬的Dorsey粉絲見證了他賬號中不尋常的推文,後來被懷疑是奇怪的,因為Dorsey很少在短時間內發布多個更新。 後來有人指出,被稱為Chuckling Squad的黑客組織對這起事件負有責任。此外,眾所周知,同一個黑客組織劫持了幾個名人和知名社交媒體人物的推特賬號,試圖獲得惡名。 在黑客攻擊發生的第二天,Twitter宣布該事件是由於移動運營商的安全監督而發生的。本質上,通過SMS功能處理用於推特的SMS消息的移動運營商允許未授權方通過攻擊者欺騙推特用戶的電話號碼的服務進行推文。 當攻擊發生時,Twitter立即通過短信功能禁用推文,直到他們能夠解決問題,沒有時間框架來恢復服務。 Twitter發布了一條來自其支持賬戶的推文,聲稱我們採取這一步驟是因為移動運營商需要解決的漏洞以及我們依賴於雙因素身份驗證的鏈接電話號碼(我們正在努力改進這一點) 。從推文及其更新的外觀來看,Twitter已經重新啟用了該功能,但僅限於“依賴SMS發送Tweet的少數位置”。...

于September 17, 2019發表在Computer Security

CMD勒索軟件

CMD勒索軟件 screenshot

在這種情況下,創建數據鎖定木馬比以往任何時候都容易。即使是經驗不足的網絡騙子,只要藉用已經存在的勒索軟件威脅的代碼並稍加調整,就可以構建。這就是新發現的CMD Ransomware的創建者所做的。 傳播和加密 通過檢查CMD Ransomware,惡意軟件研究人員得出結論,該文件加密木馬是流行的Dharma Ransomware的變體。尚不了解CMD勒索軟件傳播中涉及的傳播技術。一些安全專家認為,包含宏指令附件,偽造軟件更新以及流行應用程序的虛假盜版變種的電子郵件可能是造成CMD Ransomware傳播的感染媒介之一。當CMD Ransomware入侵PC時,它將執行簡短掃描。掃描找到了該威脅感興趣的文件。通常,製造勒索軟件威脅的網絡犯罪分子必須確保將所有流行的文件類型作為目標,以確保最大程度的破壞。掃描完成後,CMD Ransomware將繼續進行攻擊的下一步-加密過程。一旦CMD Ransomware加密了文件,它將在受影響文件的文件名末尾添加新的擴展名-'.id- 。[jsmith1974@mail.fr] .cmd。”加密過程完成後,您將無法再打開或使用文件。 贖金記錄 在攻擊的下一階段,CMD勒索軟件將刪除其贖金記錄。註釋的名稱可能是“ info.hta”和/或“ RETURN FILES.txt”,其內容為: '所有加密為“ RSA1024”的文件 您的所有文件已被加密!!!如果要恢復它們,請寫信給我們電子郵件jsmith1974@mail.fr 在信中寫下您的ID,您的ID...

于October 15, 2019發表在Ransomware

Hundreds of Dental Offices in US Hit with Aggressive Sodinokibi Ransomware Locking Patient Records

Hundreds of Dental Offices in US Hit with Aggressive Sodinokibi Ransomware Locking Patient Records screenshot

遺憾的是,勒索軟件攻擊已成為公司和個人計算機用戶計劃的一種常態,因為複雜的惡意軟件加密文件使得他們的系統基本上被鎖定,並且要求恢復文件的金錢需求。在最近的勒索軟件攻擊中, Sodinokibi勒索軟件威脅用於鎖定數百個使用DDS Safe在線備份解決方案和醫療記錄保留服務的牙醫診所的數據。 在美國各地有超過400個牙醫診所受到Sodinokibi勒索軟件威脅的攻擊。在這些攻擊中,看起來Sodinokibi背後的肇事者利用了Digital Dental Record( dentalrecord.com )的在線備份應用程序DDS Safe。據稱,DDS服務通過其云管理提供商PercSoft感染。相反,DDS Safe服務聲稱是“保護一個人的系統免受勒索軟件攻擊的一步”,據他們的網站稱。 Sodinokibi勒索軟件對全美400多家牙醫診所的攻擊看起來與網絡犯罪分子先前所做的努力有關,他們害怕託管服務提供商(MSP),並利用該系統部署REvil惡意軟件 ,這也是被稱為Sodinokibi勒索軟件。負責以前試圖破壞MSP的黑客小組看起來成功地攻擊了400多家使用DDS安全服務的牙醫診所。來自克雷布斯的計算機安全專家以及威斯康星州牙科協會通訊主任的聲明獲悉了鎖定400種牙科診所數據的攻擊。 由於勒索軟件攻擊,牙科工作無限期擱置...

于August 30, 2019發表在Computer Security

XHelper

在2019年初,惡意軟件研究人員發現了專門針對Android設備的新威脅– xHelper Trojan。那時,xHelper木馬並沒有受到太多關注,因為它的覆蓋範圍似乎非常有限。但是,xHelper木馬的創建者決定提高自己的遊戲水平,並取得了相當大的成功,因為該威脅現已成為最活躍的十大Android惡意軟件菌株。 xHelper木馬有兩個不同的變體,專家推測兩者都以相同的方式分發。其中一個變體幾乎可以完全隱藏其組件,而另一個則可以留下一些明顯的活動痕跡。 傳播方式 通常,針對Android設備的威脅往往會偽裝成流行的應用程序,因此用戶在安裝它們時不會懷疑任何事情。但是,xHelper木馬程序的作者決定將其威脅掩蓋為一個相當模糊的應用程序,該應用程序只有幾十個下載。 半隱形xHelper Varian 通常,當安裝一個應用程序時,該應用程序會將其圖標添加到設備的應用程序列表中。但是,這與xHelper Trojan的半隱形變體不同。此威脅的創建者很可能選擇了這樣做,因此用戶不太可能注意到存在任何不正當活動。將xHelper Trojan安裝在他們的設備上後,它將開始在通知欄中向用戶發送垃圾郵件。這些廣告似乎在宣傳合法的網站和服務,因此運營商可能正在使用點擊付費的收入來源。 完全隱身的xHelper變體 xHelper木馬的完全隱蔽版本比半隱匿版本更具威脅性。 xHelper木馬的此變體似乎被用作第一階段的有效負載,這將使其操作員在受感染的主機上植入更多威脅。如果x Helper的隱形版本最終出現在您的設備上,則除了標題為“ xhelper”的小條目外,您可能看不到任何痕跡,只有當您仔細查看“ App Info”菜單時才能看到。 xHelper木馬將啟動一個'。 JAR'文件,該文件已被嚴重混淆,並帶有將被植入設備的輔助負載。尚不清楚輔助負載的用途是什麼,但專家推測,它可能使攻擊者能夠在受感染主機上執行遠程命令。 xHelper...

于October 15, 2019發表在Trojans

Beware: Malicious 'BRATA' Android Remote Access Tool Threatens Online Banking Accounts

Beware: Malicious 'BRATA' Android Remote Access Tool Threatens Online Banking Accounts screenshot

如今,一個新的強大的Android惡意軟件系列正在巴西的智能手機用戶中進行。研究人員將其稱為BRATA ,它缺少巴西RAT Android。自從2019年1月首次發現BRATA以來,至少有20個新的變種被報導,似乎惡意軟件正在無邊界地擴散。這個RAT家族的廣泛影響主要是因為大多數惡意二進製文件都是在官方Google Play商店檢測到偽裝成即時通訊服務WhatsApp的更新。 BRATA對網上銀行信息特別感興趣,它實時收集並發送給運營商。儘管這種遠程訪問工具不僅能夠竊取銀行賬戶登錄憑證和雙因素身份驗證令牌,而且它還能夠監視用戶消息和呼叫,檢索文件,以及它們在卡巴斯基拉丁美洲的研究人員給予了最多的印象。更多威脅用戶隱私的活動。 目前,對於通過手機查看其在線銀行賬戶的用戶而言,BRATA仍然是一個財務威脅,並且僅影響位於巴西的Android用戶。但是,沒有理由不能在任何時間跳到世界上所有其他地區。此外,這種惡意軟件也可能很容易演變成一種勒索類型的威脅,它鎖定用戶文件並要求支付贖金以換取解密密鑰。到目前為止,卡巴斯基研究人員聲稱BRATA只針對銀行的客戶,而不針對銀行本身。 BRATA至少在Android Lollipop 5.0版本上正常運行,並且有幾個感染向量。除了虛假的WhatsApp更新,用戶還可以通過垃圾郵件,Google搜索中的讚助商鏈接以及已損壞網站上的推送通知感染。...

于September 17, 2019發表在Computer Security

Good勒索軟件

Good勒索軟件 screenshot

優良的勒索軟件是潛伏在網絡上的最新發現的勒索軟件威脅之一。像大多數數據鎖定特洛伊木馬一樣,Good Ransomware會潛入您的系統,對您的數據進行加密,然后索取贖金,以按預期方式解鎖受影響的文件。 傳播和加密 Good Ransomware的作者可能正在使用電子郵件傳播其創作。這些電子郵件通常包含看起來很重要的附件文檔,例如簡歷,納稅申報文件,潛在的工作機會等。這是一種常見的社會工程手段,會誤導用戶打開附件。但是,一旦他們嘗試打開附件文件(一個隱藏在其中的宏腳本),它將被觸發。然後,Good Ransomware的可執行文件將被初始化。接下來,Good Ransomware將掃描受感染的計算機並找到文件,將其編程為可以處理。完成後,Good Ransomware將執行其加密過程並鎖定所有目標文件。由Good Ransomware鎖定的文件的文件名末尾將帶有'.good'擴展名。例如,一旦良品勒索軟件將其加密後,名為“ no-traps.jpeg.good”的文件將重命名為“ no-traps.jpeg.good”。 贖金記錄 攻擊的下一個階段是刪除贖金票據。 Good Ransomware的贖金記錄稱為“ Restore-My-Files.txt”,其中,Good Ransomware的作者提供了“ goodmen@countermail.com”和“...

于October 15, 2019發表在Ransomware

Web Hosting Provider Hostinger Suffers Data Breach

Web Hosting Provider Hostinger Suffers Data Breach screenshot

8月23日,網絡託管服務提供商Hostinger宣布遭受重大數據洩露,可能會對其大量客戶造成影響。事件發生後,Hostinger重置其用戶密碼作為安全措施。 來自託管公司的官方聲明告知,黑客獲得了Hostinger內部API的訪問權限,並通過該服務器訪問了包含散列密碼的服務器,以及其他“非財務”客戶信息。受影響信息的範圍包括用戶提供的名字和姓氏,以及所選用戶名,IP地址,散列密碼和聯繫信息。密碼已使用SHA-1算法進行哈希處理。 客戶將使用的新重置密碼和任何自定義密碼將使用SHA-2進行哈希處理,以提高安全性。該公告確保強調財務信息,包括卡詳細信息和用戶銀行賬戶信息沒有受到損害。然而,不良參與者訪問的“聯繫信息”包括構成個人可識別信息的電子郵件,地址和電話號碼。 正如歷史將向我們揭示的那樣,數據洩露案件是無情的,並且近年來並未放緩。就在幾個月前, Capital One首當其衝受到了一次攻擊 , 這次攻擊影響了超過1億的客戶,這些客戶可能會向黑客發布數據。對於Captial One攻擊來說,幸運的是,負責此事件的黑客已被抓獲並面臨判斷。...

于August 27, 2019發表在Computer Security

Windows Driver Vulnerabilities Exposed at DefCon Security Conference

Windows Driver Vulnerabilities Exposed at DefCon Security Conference screenshot

在第27屆年度DefCon計算機安全會議期間,與Eclypsium合作的研究人員暴露了他們在各種Windows驅動程序中發現的嚴重漏洞 。報告中概述的主要缺陷是驅動程序允許在系統的用戶空間部分以低權限運行的應用程序獲得對系統內核的無理訪問。驅動程序的運行級別與常規軟件不同,例如Microsoft Office,因此報告中提到的幾十個驅動程序中的設計缺陷允許不良參與者漏掉,利用驅動程序設計中的缺陷並獲得完全訪問權限到受損系統。所有有問題的驅動程序都是由Microsoft進行數字簽名的驅動程序。 DefCon面板上的Eclypsium研究人員之一Mickey Shkatov將導致的驅動程序缺陷歸咎於部分硬件製造商的編碼實踐不佳以及對潛在安全問題的關注不足。 Shkatov解釋說,驅動程序越來越多地以允許它們“代表用戶空間執行任意操作”的方式進行編碼,而不是嚴格限制於它們所服務的特定目的。 研究人員還將此概述為一個非常嚴重的問題,因為一方面,硬件製造商認為微軟在對驅動程序進行數字簽名之前正在尋找此類問題,而另一方面,微軟希望供應商在其中使用安全代碼。版本。 在受影響的驅動程序列表上製作它的硬件供應商包括NVidia,AsusTek,AMD,EVGA,Gigabyte,Intel和Toshiba等知名品牌。此後,所有這些供應商都被研究團隊通知並推動了驅動程序更新。為了進一步減少對運行易受攻擊驅動程序的系統造成的任何潛在損害,Microsoft將利用Windows 10 Hypervisor代碼完整性(HVCI)功能將報告的有問題的驅動程序置於黑名單中。...

于September 10, 2019發表在Computer Security

New Google Chrome Malware with Sneaky Payload Steals User Credentials

New Google Chrome Malware with Sneaky Payload Steals User Credentials screenshot

網絡安全公司不斷掃描在線環境,以發現可能使用戶隱私受到威脅的新惡意軟件威脅,並了解進行此類攻擊的典型分佈載體。最近,研究人員遇到了一種新的惡意軟件,類似於其他已知的竊取威脅的憑據。然而,分析的樣本似乎是獨一無二的,不僅因為它專門針對谷歌Chrome瀏覽器,不像其他針對所有流行的互聯網瀏覽器的已知威脅,而且還有它所使用的技術。這種新威脅不會被混淆,理論上應該被反惡意軟件解決方案阻止。但是,在大多數情況下,防病毒軟件甚至都沒有檢測到它,這對惡意軟件分析師來說非常令人費解。 這種新的憑證收集工具的感染髮生在基本滴管的幫助下 。該dropper在當前路徑中創建一個文件夾\ temp,大小約為6MB,並成為惡意軟件的父文件夾。在這個新文件夾中,dropper創建一個名為“death.bat”的簡單腳本,刪除/ temp目錄。然後,dropper在父文件夾中創建六個其他文件,其中包含五個DLL文件和一個名為“virus.exe”的二進製文件,它似乎正在使用cURL。研究人員指出,使用cURL的其他惡意軟件威脅並不多,這使得新威脅非常有趣。此外,惡意軟件的文件名是明確的,它不使用混淆或加密。填寫父文件夾後,惡意軟件會運行“virus.exe”二進製文件,而刪除所有惡意軟件痕蹟的批處理腳本會在五秒後執行。接下來,彈出一個帶有一般錯誤消息的消息框,看起來只是為了欺騙用戶。 對惡意軟件主要負載的分析表明,它對用戶隱私構成了真正的威脅。 Google...

于September 11, 2019發表在Computer Security

Over 5 Million Credit Cards Leaked Online After Hy-Vee Supermarkets Data Breach

Over 5 Million Credit Cards Leaked Online After Hy-Vee Supermarkets Data Breach screenshot

8月中旬,大量的信用卡憑證在地下網上出售。據報導,這些憑證是從位於得梅因的超市連鎖店Hy-Vee的各種黑客設施中偷走的。 8月中旬,Hy-Vee正式宣布遭遇安全漏洞並提取數據,包括由一些Hy-Vee燃氣泵和直通餐廳使用的電子系統處理的客戶信息。截至公告,該公司尚未確定違約的確切範圍或起點。 在這種情況下,不良演員使用的常用方法是在處理客戶付款的設備上遠程安裝惡意軟件。此惡意軟件用於抓取存儲在信用卡上的信息,然後使用該數據使用被盜憑證生成虛假信用卡。 從好的方面來看,Hy-Vee報告稱,該連鎖店的雜貨店,藥店或便利店使用的卡終端沒有數據被盜 。這些終端使用不同的軟件並採用加密技術,使得第三方基本上無法讀取卡數據。 據稱,包含被盜信用卡信息的數據轉儲正在地下市場Joker's Stash上作為“太陽能突破”被出售。被盜的憑證正在出售,一張假卡的平均售價為25美元。與此同時,Hy-Vee表示他們已經與支付處理服務供應商和卡網絡合作,以快速發現有問題的卡。...

于September 13, 2019發表在Computer Security

New Email Spam Campaign Poses as an IRS Message to Taxpayers

New Email Spam Campaign Poses as an IRS Message to Taxpayers screenshot

網絡安全研究人員警告說,在2019年8月中旬發現了一個新的電子郵件垃圾郵件活動,其中在線詐騙者假裝是美國國稅局(IRS)的代理人。這項新的與稅務相關的騙局的目標是在受害者的計算機上下載惡意軟件,以及收集敏感的用戶數據 。 與典型的網絡釣魚活動一樣,冒名頂替者向納稅人發送電子郵件,聲稱其中包含有關退稅,在線帳戶或電子退貨的重要信息。為了看起來真實,電子郵件包括與IRS.gov頁面非常相似的網站的鏈接,以及要求用戶訪問相關文件的臨時密碼。但是,這些文件注入了惡意腳本,因此當用戶打開它們時,用戶的計算機上會丟棄惡意軟件威脅。通過這種方式,詐騙者可以訪問目標計算機,並可以安裝其他惡意軟件來監視用戶的活動並收集個人數據。攻擊者使用了數十個虛假的網址,這使得網絡安全專家難以追踪它們。 美國國稅局再次提醒其代理商絕不會通過電子郵件或電話向用戶索取任何財務或個人信息,因此任何需要此類數據的消息都是騙局,應謹慎處理。此外,美國國稅局不會聯繫人們要求通過銀行電匯,禮品卡或借記卡/信用卡立即付款,因此任何此類嘗試都應予以忽略。 儘管美國國稅局已經採取了相當大的措施來減少納稅人的身份盜用,並且受害者人數在過去三年中下降了70%以上,但IRS冒名頂替者的電子郵件和電話詐騙仍然是一個威脅用戶隱私的問題。 。與稅收相關的網絡釣魚活動仍然是網絡竊賊的全年業務,因此美國國稅局官員警告說納稅人應該時刻保持警惕。 如果您發現涉嫌欺騙美國國稅局的電子郵件,請通過其網絡釣魚報告網站向美國國稅局報告...

于September 3, 2019發表在Computer Security