Beware of the Top Three Dominant Trickbot Trojan Campaigns of the 2019 Tax Season

サイバー犯罪者は課税の時期であり、できるだけ多くのアイデンティティ、資金、および確定申告書を盗むためのスキームの開発に忙しいです。通常、彼らは悪名高いTrickBotバンキングトロイの木馬を個人や企業に同様に配布するためにスパムキャンペーンに頼っています。 IBMのX-Force部門の研究者が現在TrickBotを納税者に提供している最大3つの主要なスパムキャンペーンを検出したため、今年も例外ではありません。各キャンペーンは、金融、人事、または経理部門で活動している信頼できる会社に代わってスパムメールを送信します。

1月下旬に最初のスパム波が発生

最初の大規模なキャンペーンは、ハッカーが有名な会計会社に代わって転送された疑わしいEメールを送信し始めた1月27日ごろにレーダーに現れました。電子メールはすべて同じ件名を共有していました - FW：2018 EF税インセンティブ請求 - そして受信者に添付の同じ名前のExcel文書をクリックするように促しました。しかし、開かれたときに実際の税制優遇データを開示する代わりに、埋め込まれたファイルはそこに含まれる悪意のあるマクロを介してTrickBot感染を引き起こすでしょう。各電子メールの署名は100個の正当なものに見えるほど詳細に記述されていました。

第2のスパム波がADP HRサービスプロバイダの利点を活用

TrickBotバンキングトロイの木馬を拡散させるスパムキャンペーンは、大手HRサービスプロバイダであるADPのクライアントを標的にした、と同社の役人が発表した公式の警告によると。そのように、マルウェア関係者は、偽造のADP電子メールアカウントを使用して、受信者を騙して、税金請求記録に関する重要な情報が含まれていると思われるマルウェアに感染したURLをクリックさせました。これらの偽のアカウントは、

• 同一の名前パターン - <[従業員名] noreply@adpnote.com>
• 統一されたEメールの件名、すなわち「FW：CASE＃90ADP28TEFT - 税請求記録」
• 不変の悪質なリンク - '90ADP0304TEFT.xlsm'

ADPはすでにこの問題に対処しており、分析のためにこのような受信メッセージを専用の不正防止電子メールに転送するよう顧客に要請しています。

第3のスパム波はPaychexの名前を利用しました

3番目の有名なスパムキャンペーンは、有名なPaychex給与支払いプロバイダの顧客が、最初に送信していなかった問い合わせに対する電子メールの返信を受信し始めた3月上旬に始まりました。 「RE：Tax Verification documents」というタイトルの電子メールで、受信者に以前に要求したデータを含む添付ファイルを受信者に提供するために使用されました。添付ファイルは「Verification_Documents.doc」と呼ばれる合法的なWord文書のように見えましたが、開くとTrickBotトロイの木馬がターゲットのPCだけでなく他のネットワークに接続されたマシンにもインストールされるでしょう。

TrickBot攻撃はより精巧になっています

以前のマルウェア配布キャンペーンとは異なり、上記の3つの悪意のある操作は可能な限り正当に見えます。にもかかわらず、TrickBotの銀行用トロイの木馬を持っている電子メールは、実際の登録ドメインと実際の従業員を持つ本物の会社から送信されているようです。言い換えれば、担当のマルウェア関係者がスピアフィッシング技術を習得したことは明らかです。. さらに、3つのキャンペーンはすべて同じレイアウトを使用しているため、同じグループのサイバー犯罪者によるものであれば、それほど驚くことではありません。