Des escrocs utilisent le cheval de Troie Emotet pour réaliser l'escroquerie au formulaire fiscal W-9 de l'IRS
Selon Malwarebytes, les fraudeurs fiscaux sont de plus en plus nombreux à utiliser le "cheval de Troie Emotet" pour mener à bien leurs opérations. Il est capable d'intercepter le trafic réseau et de voler des données, telles que les informations d'identification des utilisateurs stockées dans le navigateur.
Selon Malwarebytes, une escroquerie actuelle utilise le formulaire fiscal W-9 de l'IRS. Le formulaire W-9 est utilisé par les particuliers pour vérifier leurs informations personnelles auprès de l'IRS, telles que leur nom, leur adresse et leur numéro d'identification fiscale. Le formulaire W-9 est ensuite utilisé comme appât dans cette opération frauduleuse pour inciter les gens à télécharger des logiciels malveillants.
Jerome Segura, Senior Director of Threat Intelligence de Malwarebytes, a découvert un e-mail ayant pour objet "IRS Tax Forms W-9". Le message prétend provenir du "Centre en ligne de l'IRS" et comprend une pièce jointe, W-9 form.zip, avec très peu de mots.
Lorsque la pièce jointe W-9 form.zip est ouverte, un document Word nommé W-9 form.doc apparaît, dont la taille est de 548 164 KB (548 MB). Cette taille est particulièrement suspecte car elle pourrait indiquer la présence d'Emotet en arrière-plan. Les développeurs de logiciels malveillants gonflent la taille du document pour tromper ou contourner les mesures de sécurité. La taille importante du document peut rendre difficile sa saisie et son examen efficace par les outils de sécurité.
L'ouverture du document devient un jeu de risques liés aux macros. Les macros, utilisées pour automatiser certains aspects des documents, sont un moyen éprouvé d'infecter un PC avec des logiciels malveillants. Lors de l'ouverture du formulaire W-9.doc, un message apparaît :
"Ce document est protégé
La prévisualisation n'est pas disponible pour les documents protégés. Vous devez appuyer sur les boutons "activer l'édition" et "activer le contenu" pour prévisualiser ce document."
L'activation de ces boutons entraînera le téléchargement d'Emotet sur le système.
Les sources de cet article comprennent un article paru dans InfoSecurityMagazine.