แคมเปญฟิชชิ่ง Emotet รูปแบบใหม่ ที่มุ่งเป้าไปยังผู้เสียภาษีในสหรัฐฯ โดยการปลอมแปลงเป็นแบบฟอร์ม W-9 ที่ถูกส่งโดยหน่วยงาน Internal Revenue Service และบริษัทของเหยื่อ
Emotet เป็นมัลแวร์ที่มักแพร่กระจายผ่านทางอีเมลฟิชชิ่ง โดยในอดีตมีการใช้งานเอกสาร Microsoft Word และ Excel ที่มีการฝังมาโครไว้เพื่อทำการติดตั้งมัลแวร์
อย่างไรก็ตาม หลังจากที่ Microsoft ได้ทำการแก้ไขโดยการบล็อกมาโครเป็นค่าเริ่มต้นบน office ทาง Emotet ก็เปลี่ยนไปใช้ไฟล์ Microsoft OneNote ที่มีการฝังสคริปต์แทน เพื่อทำการติดตั้งมัลแวร์
เมื่อ Emotet ถูกติดตั้งแล้ว มัลแวร์จะทำหน้าที่ขโมยอีเมลของเหยือเพื่อใช้ในการโจมตีแบบ reply-chain, ส่งอีเมลสแปมเพิ่มเติม รวมถึงติดตั้งมัลแวร์อื่น ๆ เพื่อเปิดช่องทางการเข้าถึงระบบของเหยื่อสำหรับกลุ่มผู้โจมตีอื่น ๆ หรือกลุ่ม Ransomware
Emotet เตรียมพร้อมสำหรับช่วงเก็บภาษีของสหรัฐฯ
การทำงานของ Emotet มักใช้แคมเปญฟิชชิ่งที่มีธีมให้สอดคล้องกับวันหยุดพิเศษ และกิจกรรมทางธุรกิจที่เกิดขึ้นทุกปี เช่น ช่วงเวลาการเก็บภาษีของสหรัฐฯ ในปัจจุบัน
ในแคมเปญฟิชชิ่งล่าสุดที่ถูกพบโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Malwarebytes และ Palo Alto Networks Unit 42 พบว่า Emotet กำลังมุ่งเป้าไปที่ผู้ใช้งานโดยการใช้อีเมลที่มีไฟล์แนบแบบฟอร์มภาษี W-9 ปลอม
ในแคมเปญที่ถูกพบโดย Malwarebytes ผู้ไม่หวังดีจะส่งอีเมลที่มีหัวข้อ 'IRS Tax Forms W-9' โดยอ้างตัวเป็น 'ผู้ตรวจสอบ' จาก Internal Revenue Service
อีเมลฟิชชิ่งเหล่านี้มีไฟล์ .zip ชื่อ 'W-9 form.zip' ซึ่งมีเอกสาร Word ที่เป็นอันตราย และมีขนาดมากกว่า 500MB เพื่อทำให้โปรแกรมรักษาความปลอดภัยตรวจจับไฟล์ได้ยาก
แต่เนื่องจากทาง Microsoft ได้ทำการบล็อกการใช้งานมาโครเป็นค่าเริ่มต้น ทำให้ผู้ใช้งานมีโอกาสน้อยที่จะทำการเปิดใช้งานมาโคร และติดมัลแวร์จากเอกสาร Word ที่เป็นอันตราย
ในแคมเปญฟิชชิงที่ Brad Duncan จาก Unit 42 ตรวจพบ ผู้ไม่หวังดีได้ทำการเปลี่ยนไปใช้งานเอกสาร Microsoft OneNote ที่มีไฟล์ VBScript ฝังอยู่ภายใน เพื่อติดตั้งมัลแวร์ Emotet
แคมเปญฟิชชิ่งนี้ใช้อีเมลตอบกลับที่มีการแอบอ้างว่าเป็น Partner ทางธุรกิจที่ส่งแบบฟอร์ม W-9 ให้ดังตัวอย่างด้านล่าง
ไฟล์เอกสาร OneNote ที่แนบมาจะปลอมเป็นไฟล์ที่มีการป้องกัน และจะขอให้ดับเบิ้ลคลิกที่ปุ่ม View เพื่อดูเอกสาร แต่ภายในปุ่ม View นั้นจะมีไฟล์ VBScript ที่ถูกซ่อนอยู่ และจะถูกเปิดใช้งานแทน
เมื่อเปิดไฟล์ VBScript ที่ฝังอยู่ใน Microsoft OneNote จะมีการแจ้งเตือนผู้ใช้ว่าไฟล์อาจเป็นอันตราย แต่ผู้ใช้งานมักจะมองข้ามคำเตือน และอนุญาตให้ไฟล์เริ่มทำงานได้
เมื่อไฟล์ VBScript เริ่มทำงาน มันจะทำการดาวน์โหลดไฟล์ Emotet.DLL และเรียกใช้งาน regsvr32.exe
มัลแวร์จะทำงานอย่างเงียบ ๆ อยู่เบื้องหลัง โดยจะทำการขโมยข้อมูลอีเมล, รายชื่อผู้ติดต่อ, และรอรับคำสั่ง payloads เพิ่มเติม เพื่อติดตั้งลงบนอุปกรณ์
หากได้รับอีเมลที่อ้างว่าเป็นแบบฟอร์ม W-9 หรือแบบฟอร์มภาษีอื่น ๆ ควรสแกนเอกสารด้วยโปรแกรม antivirus เนื่องจากเอกสารเหล่านี้เป็นข้อมูลที่มีความสำคัญ ไม่แนะนำให้อัปโหลดไปยังบริการสแกนออนไลน์ เช่น VirusTotal
โดยปกติแบบฟอร์มภาษีจะอยู่ในรูปแบบ PDF ไม่ใช่เอกสาร Word หากได้รับแบบฟอร์มภาษีใด ๆ ควรหลีกเลี่ยงการเปิดไฟล์ และหลีกเลี่ยงการเปิดใช้งานมาโคร
แบบฟอร์มภาษีจะไม่ถูกส่งในรูปแบบของเอกสาร OneNote ดังนั้นหากได้รับอีเมลดังกล่าวควรลบทิ้งทันที และไม่ควรเปิดอีเมลเด็ดขาด
แนวทางการป้องกันที่ดีที่สุดคือ ไม่ควรเปิดอีเมลจากบุคคลที่ไม่รู้จัก แต่หากเป็นอีเมลของบุคคลที่รู้จัก ควรโทรไปสอบถามเพื่อยืนยันว่าได้ทำการส่งอีเมลมาเองจริงหรือไม่
ที่มา : bleepingcomputer