Microsoft warnt Buchhaltungs- und Steuererklärungsfirmen vor einem neuen Phishing-Angriff vor dem US-Steuertag

Benjamin Franklin schrieb einmal: „Die einzigen zwei Gewissheiten im Leben sind der Tod und die Steuern“. Mit dem bevorstehenden jährlichen US-Steuertag am Dienstag, dem 18. April, könnten wir dieser Liste eine dritte Gewissheit hinzufügen: Internet-Betrug. Diese Woche hat die Sicherheitsabteilung von Microsoft vor dem Steuertag eine Warnung vor einem neuen Phishing-Betrug herausgegeben, der auf Buchhaltungs- und Steuererklärungsfirmen abzielt.

Der Blog-Beitrag von Microsoft besagt, dass das Unternehmen die neuen Betrügereien im Februar bemerkt hat. Sie werden von Hackern verschickt, die hoffen, dass sie den Fernzugriffstrojaner Remcos auf einen PC übertragen können. Remcos wurde entwickelt, um auf Windows-PCs zuzugreifen und Administratorrechte aus der Ferne zu übernehmen. Microsoft sagt:

Während Social-Engineering-Köder wie dieser rund um den Steuertag und andere große aktuelle Ereignisse üblich sind, sind diese Kampagnen auf eine ungewöhnliche Weise spezifisch und zielgerichtet. Die Ziele dieser Bedrohung sind ausschließlich Organisationen, die sich mit Steuervorbereitung, Finanzdienstleistungen, CPA- und Wirtschaftsprüfungsunternehmen befassen, sowie professionelle Dienstleistungsunternehmen, die sich mit Buchhaltung und Steuern befassen.

Natürlich sind diese Arten von Unternehmen zu dieser Jahreszeit vor dem Steuertag sehr beschäftigt, da Kunden ihnen per E-Mail Informationen über ihre Steuern und Finanzinformationen zusenden. Microsoft sagt, dass diese Phishing-Kampagne E-Mails verschickt hat, die aussehen, als kämen sie von einem Kunden einer Wirtschaftsprüfungs- oder Steuerkanzlei. Sie enthalten einen Link zu einem echten File-Sharing-Dienst mit einem echten Klick-Tracking-Link von Amazon Web Services.

Unglücklicherweise für die Person, die auf diesen Link klickt, wird sie dann auf die File-Sharing-Site weitergeleitet, wo der Hacker Windows-Verknüpfungsdateien (.LNK) abgelegt hat. Microsoft sagt:

Diese LNK-Dateien generieren Webanfragen an von Akteuren kontrollierte Domänen und/oder IP-Adressen, um bösartige Dateien herunterzuladen. Diese schädlichen Dateien führen dann Aktionen auf dem Zielgerät aus und laden die Remcos-Payload herunter, wodurch der Akteur potenziellen Zugriff auf das Zielgerät und das Netzwerk erhält.

Die gute Nachricht für Windows-PC-Benutzer, die in diesen Finanzunternehmen arbeiten, ist, dass Microsoft 365 Defender und Microsoft Defender Antivirus diese schädlichen Dateien erkennen und die Remoteübernahme ihrer PCs verhindern können. Offensichtlich sollten diese Benutzer immer misstrauisch gegenüber E-Mails sein, die Links zu Filesharing-Sites enthalten, insbesondere von Clients, die sie nicht kennen.