Phishing-Kampagne zielt auf Steuerfachleute
Während sich die Steuersaison in den USA dem Ende zuneigt, warnt Microsoft vor einer neuen Phishing-Aktion, die es auf Buchhaltungsunternehmen und Steuerberater abgesehen hat und Malware einschleust, mit der sich Hacker frühzeitig Zugang zu Unternehmensnetzwerken verschaffen können.
Nach Angaben von Microsoft ist die Kampagne seit Februar aktiv und zielt darauf ab, Buchhaltungs- und Steuerberatungsfirmen zu kompromittieren, indem sie den Remote Access Trojaner (RAT) Remcos verbreitet. Um Steuerfachleuten beim Ausfüllen ihrer Steuererklärungen zu helfen, hat die Kampagne Phishing-E-Mails verschickt, die den Anschein erwecken, von Kunden zu stammen, die Unterlagen liefern.
Um der Erkennung durch Sicherheitssoftware zu entgehen, enthielten die Phishing-E-Mails URLs von Klick-Tracking-Diensten. Die Empfänger werden zu einer Datei-Hosting-Website geleitet, von der sie ein ZIP-Archiv herunterladen können, das sich als PDF-Dateien für verschiedene Steuerformulare ausgibt. Bei diesen Dateien handelt es sich jedoch um Windows-Verknüpfungen, die, wenn sie aktiviert werden, die PowerShell starten. PowerShell lädt dann eine stark verschlüsselte VBS-Datei von einem Remote-Host herunter, speichert sie in C:WindowsTasks und führt sie aus.
In dem Microsoft-Bericht heißt es, dass diese Kampagne insofern ungewöhnlich ist, als sie sich nur gegen Steuerberatungsfirmen und Einzelpersonen richtet. "Die Ziele dieser Bedrohung sind ausschließlich Organisationen, die sich mit der Vorbereitung von Steuern, Finanzdienstleistungen, CPA- und Buchhaltungsfirmen und professionellen Dienstleistungsunternehmen, die sich mit Buchhaltung und Steuern beschäftigen, befassen.
Um dieser Art von Phishing-Kampagne nicht zum Opfer zu fallen, empfiehlt Microsoft, die Anzeige von Dateierweiterungen in Windows zu aktivieren, damit verdächtige Dateien erkannt werden können. Windows-Verknüpfungen sind jedoch ein spezieller Dateityp, der die Dateierweiterung .lnk verwendet, aber die Dateierweiterung nicht anzeigt, wenn er im Datei-Explorer angezeigt wird. Dies erschwert die Erkennung, dass es sich bei einer Datei um eine getarnte Verknüpfung handelt. Wenn Sie Dateien im Datei-Explorer im Modus "Details" auflisten, wird angezeigt, dass es sich um eine Windows-Verknüpfung handelt, so dass sie leichter zu erkennen ist.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.