Emotet แพร่กระจายผ่านแบบฟอร์มภาษี W-9 ปลอมจาก IRS

Emotet

แคมเปญฟิชชิ่ง Emotet รูปแบบใหม่ ที่มุ่งเป้าไปยังผู้เสียภาษีในสหรัฐฯ โดยการปลอมแปลงเป็นแบบฟอร์ม W-9 ที่ถูกส่งโดยหน่วยงาน Internal Revenue Service และบริษัทของเหยื่อ

Emotet เป็นมัลแวร์ที่มักแพร่กระจายผ่านทางอีเมลฟิชชิ่ง โดยในอดีตมีการใช้งานเอกสาร Microsoft Word และ Excel ที่มีการฝังมาโครไว้เพื่อทำการติดตั้งมัลแวร์

อย่างไรก็ตาม หลังจากที่ Microsoft ได้ทำการแก้ไขโดยการบล็อกมาโครเป็นค่าเริ่มต้นบน office ทาง Emotet ก็เปลี่ยนไปใช้ไฟล์ Microsoft OneNote ที่มีการฝังสคริปต์แทน เพื่อทำการติดตั้งมัลแวร์

เมื่อ Emotet ถูกติดตั้งแล้ว มัลแวร์จะทำหน้าที่ขโมยอีเมลของเหยือเพื่อใช้ในการโจมตีแบบ reply-chain, ส่งอีเมลสแปมเพิ่มเติม รวมถึงติดตั้งมัลแวร์อื่น ๆ เพื่อเปิดช่องทางการเข้าถึงระบบของเหยื่อสำหรับกลุ่มผู้โจมตีอื่น ๆ หรือกลุ่ม Ransomware

Emotet เตรียมพร้อมสำหรับช่วงเก็บภาษีของสหรัฐฯ

การทำงานของ Emotet มักใช้แคมเปญฟิชชิ่งที่มีธีมให้สอดคล้องกับวันหยุดพิเศษ และกิจกรรมทางธุรกิจที่เกิดขึ้นทุกปี เช่น ช่วงเวลาการเก็บภาษีของสหรัฐฯ ในปัจจุบัน

ในแคมเปญฟิชชิ่งล่าสุดที่ถูกพบโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Malwarebytes และ Palo Alto Networks Unit 42 พบว่า Emotet กำลังมุ่งเป้าไปที่ผู้ใช้งานโดยการใช้อีเมลที่มีไฟล์แนบแบบฟอร์มภาษี W-9 ปลอม

ในแคมเปญที่ถูกพบโดย Malwarebytes ผู้ไม่หวังดีจะส่งอีเมลที่มีหัวข้อ 'IRS Tax Forms W-9' โดยอ้างตัวเป็น 'ผู้ตรวจสอบ' จาก Internal Revenue Service

อีเมลฟิชชิ่งเหล่านี้มีไฟล์ .zip ชื่อ 'W-9 form.zip' ซึ่งมีเอกสาร Word ที่เป็นอันตราย และมีขนาดมากกว่า 500MB เพื่อทำให้โปรแกรมรักษาความปลอดภัยตรวจจับไฟล์ได้ยาก

Emotet email impersonating the IRS

แต่เนื่องจากทาง Microsoft ได้ทำการบล็อกการใช้งานมาโครเป็นค่าเริ่มต้น ทำให้ผู้ใช้งานมีโอกาสน้อยที่จะทำการเปิดใช้งานมาโคร และติดมัลแวร์จากเอกสาร Word ที่เป็นอันตราย

Emotet Word Document

ในแคมเปญฟิชชิงที่ Brad Duncan จาก Unit 42 ตรวจพบ ผู้ไม่หวังดีได้ทำการเปลี่ยนไปใช้งานเอกสาร Microsoft OneNote ที่มีไฟล์ VBScript ฝังอยู่ภายใน เพื่อติดตั้งมัลแวร์ Emotet

แคมเปญฟิชชิ่งนี้ใช้อีเมลตอบกลับที่มีการแอบอ้างว่าเป็น Partner ทางธุรกิจที่ส่งแบบฟอร์ม W-9 ให้ดังตัวอย่างด้านล่าง

Emotet reply-chain email with malicious Microsoft OneNote attachments

ไฟล์เอกสาร OneNote ที่แนบมาจะปลอมเป็นไฟล์ที่มีการป้องกัน และจะขอให้ดับเบิ้ลคลิกที่ปุ่ม View เพื่อดูเอกสาร แต่ภายในปุ่ม View นั้นจะมีไฟล์ VBScript ที่ถูกซ่อนอยู่ และจะถูกเปิดใช้งานแทน

Malicious Microsoft OneNote file impersonating a W-9 form

เมื่อเปิดไฟล์ VBScript ที่ฝังอยู่ใน Microsoft OneNote จะมีการแจ้งเตือนผู้ใช้ว่าไฟล์อาจเป็นอันตราย แต่ผู้ใช้งานมักจะมองข้ามคำเตือน และอนุญาตให้ไฟล์เริ่มทำงานได้

เมื่อไฟล์ VBScript เริ่มทำงาน มันจะทำการดาวน์โหลดไฟล์ Emotet.DLL และเรียกใช้งาน regsvr32.exe

มัลแวร์จะทำงานอย่างเงียบ ๆ อยู่เบื้องหลัง โดยจะทำการขโมยข้อมูลอีเมล, รายชื่อผู้ติดต่อ, และรอรับคำสั่ง payloads เพิ่มเติม เพื่อติดตั้งลงบนอุปกรณ์

หากได้รับอีเมลที่อ้างว่าเป็นแบบฟอร์ม W-9 หรือแบบฟอร์มภาษีอื่น ๆ ควรสแกนเอกสารด้วยโปรแกรม antivirus เนื่องจากเอกสารเหล่านี้เป็นข้อมูลที่มีความสำคัญ ไม่แนะนำให้อัปโหลดไปยังบริการสแกนออนไลน์ เช่น VirusTotal

โดยปกติแบบฟอร์มภาษีจะอยู่ในรูปแบบ PDF ไม่ใช่เอกสาร Word หากได้รับแบบฟอร์มภาษีใด ๆ ควรหลีกเลี่ยงการเปิดไฟล์ และหลีกเลี่ยงการเปิดใช้งานมาโคร

แบบฟอร์มภาษีจะไม่ถูกส่งในรูปแบบของเอกสาร OneNote ดังนั้นหากได้รับอีเมลดังกล่าวควรลบทิ้งทันที และไม่ควรเปิดอีเมลเด็ดขาด

แนวทางการป้องกันที่ดีที่สุดคือ ไม่ควรเปิดอีเมลจากบุคคลที่ไม่รู้จัก แต่หากเป็นอีเมลของบุคคลที่รู้จัก ควรโทรไปสอบถามเพื่อยืนยันว่าได้ทำการส่งอีเมลมาเองจริงหรือไม่

ที่มา : bleepingcomputer