세금 사기범은 트로이 목마 이모텟을 사용하여 IRS W-9 세금 양식 사기를 실행합니다.
멀웨어바이츠에 따르면 세금 사기범들이 '트로이 목마 이모텟'을 이용해 작전을 수행하는 사례가 증가하고 있다고 합니다. 이 트로이 목마는 네트워크 트래픽을 가로채고 브라우저에 저장된 사용자 자격 증명과 같은 데이터를 훔칠 수 있습니다.
멀웨어바이츠에 따르면 현재 IRS W-9 세금 양식을 사용하는 사기가 발생하고 있다고 합니다. W-9 양식은 개인이 이름, 주소, 납세자 식별 번호와 같은 개인 정보를 IRS에 확인하는 데 사용됩니다. 그런 다음 W-9는 사람들이 악성 소프트웨어를 다운로드하도록 유도하는 이 사기 수법의 미끼로 사용됩니다.
멀웨어바이츠의 위협 인텔리전스 수석 디렉터인 제롬 세구라는 "IRS 세금 양식 W-9"이라는 제목의 이메일을 발견했습니다. 이 메시지는 "IRS 온라인 센터"에서 보낸 것이라고 주장하며, 이메일에 첨부 파일인 W-9 form.zip이 포함되어 있고 단어가 거의 없습니다.
W-9 form.zip 첨부 파일을 열면 548,164KB(548MB) 크기의 W-9 form.doc라는 Word 문서가 나타납니다. 이 크기는 특히 의심스러운데, 백그라운드에 Emotet이 있음을 나타낼 수 있기 때문입니다. 악성 소프트웨어 개발자는 보안 조치를 속이거나 우회하기 위해 문서의 크기를 부풀립니다. 크기가 크면 보안 도구가 효과적으로 파악하고 면밀히 조사하기 어려울 수 있습니다.
문서를 열면 매크로와 관련된 위험에 노출됩니다. 문서의 일부 기능을 자동화하는 데 사용되는 매크로는 PC를 멀웨어에 감염시키는 검증된 방법입니다. W-9 form.doc을 열면 다음과 같은 메시지가 나타납니다:
"이 문서는 보호되어 있습니다.
보호된 문서에는 미리 보기를 사용할 수 없습니다. 이 문서를 미리 보려면 '편집 활성화' 및 '콘텐츠 활성화' 버튼을 눌러야 합니다."
이 버튼을 활성화하면 이모티콘이 시스템에 다운로드됩니다.
이 글의 출처는 InfoSecurityMagazine의 기사입니다.