Microsoft ostrzega firmy zajmujące się księgowością i zwrotami podatków przed nowym atakiem phishingowym przed Dniem Podatkowym w USA

Benjamin Franklin napisał kiedyś: „Jedyne dwie pewne rzeczy w życiu to śmierć i podatki”. W związku ze zbliżającym się corocznym amerykańskim dniem podatkowym we wtorek, 18 kwietnia, możemy dodać do tej listy trzeci pewnik: oszustwa internetowe. W tym tygodniu dział bezpieczeństwa firmy Microsoft ogłosił ostrzeżenie o nowym oszustwie typu phishing, którego celem są firmy zajmujące się księgowością i zwrotami podatków przed Dniem Podatkowym.

Wpis na blogu Microsoftu mówi, że firma zauważyła nowe oszustwa w lutym. Są wysyłane przez hakerów, którzy mają nadzieję, że uda im się dostarczyć trojana zdalnego dostępu Remcos na komputer. Remcos jest przeznaczony do zdalnego wchodzenia na komputery z systemem Windows i przejmowania uprawnień administratora. Microsoft mówi:

Podczas gdy przynęty socjotechniczne, takie jak ta, są powszechne w okolicach Dnia Podatkowego i innych ważnych bieżących wydarzeń, te kampanie są specyficzne i ukierunkowane w sposób, który jest rzadkością. Celem tego zagrożenia są wyłącznie organizacje zajmujące się przygotowywaniem podatków, usługi finansowe, firmy CPA i księgowe oraz profesjonalne firmy usługowe zajmujące się księgowością i podatkami.

Oczywiście tego typu firmy są bardzo zajęte o tej porze roku przed Dniem Podatkowym, ponieważ klienci wysyłają im e-maile z informacjami o swoich podatkach i informacjach finansowych. Microsoft twierdzi, że ta kampania phishingowa rozesłała e-maile, które wyglądają, jakby pochodziły od klienta firmy księgowej lub podatkowej. Zawierają link do prawdziwej usługi udostępniania plików, z prawdziwym linkiem do śledzenia kliknięć Amazon Web Services.

Na nieszczęście dla osoby, która kliknie ten link, zostanie ona następnie przeniesiona do witryny udostępniania plików, w której haker umieścił pliki skrótów systemu Windows (.LNK). Microsoft mówi:

Te pliki LNK generują żądania sieciowe do kontrolowanych przez aktorów domen i/lub adresów IP w celu pobrania złośliwych plików. Te złośliwe pliki wykonują następnie działania na urządzeniu docelowym i pobierają ładunek Remcos, zapewniając aktorowi potencjalny dostęp do urządzenia docelowego i sieci.

Dobrą wiadomością dla użytkowników komputerów z systemem Windows, którzy pracują w tych firmach finansowych, jest to, że Microsoft 365 Defender i Microsoft Defender Antivirus mogą wykrywać te złośliwe pliki i zapobiegać zdalnemu przejęciu ich komputerów. Oczywiście ci użytkownicy powinni zawsze być podejrzliwi w stosunku do wszelkich wiadomości e-mail zawierających łącza do witryn umożliwiających udostępnianie plików, zwłaszcza od klientów, których nie znają.