Microsoft แจ้งเตือนพบการโจมตี phishing campaign ที่กำลังมุ่งเป้าหมายไปยัง บริษัทบัญชี และผู้จัดการทางด้านภาษี ด้วยมัลแวร์ Remcos Remote Access Trojan (RAT) เพื่อโจมตี และเข้าถึงระบบของเป้าหมายได้จากระยะไกล
โดยแคมเปญดังกล่าวที่มุ่งเป้าหมายไปยัง บริษัทบัญชี และผู้จัดการทางด้านภาษีนั้น เป็นช่วงเวลาเดียวกับช่วงสิ้นสุดฤดูกาลภาษีประจำปีของสหรัฐอเมริกา ซึ่งนักบัญชีต่างพยายามรวบรวมเอกสารภาษีของลูกค้าเพื่อกรอก และยื่นแบบแสดงรายการภาษี จึงเป็นโอกาสที่ Hacker จะสามารถส่ง Phishing Mail ไปโดยที่เป้าหมายไม่ได้ระวังตัว
โดย Microsoft ได้เริ่มพบแคมเปญการโจมตีดังกล่าวตั้งแต่เดือนกุมภาพันธ์ ปี 2023 โดยเป็นการโจมตีผ่าน Remcos trojan (RAT) เพื่อสามารถเข้าถึงระบบได้จากระยะไกล
Remcos เป็น Remote Access Trojan (RAT) ที่นิยมใช้ในการโจมตีเพื่อเข้าถึงระบบของเป้าหมาย เมื่อเข้าสู่ระบบได้สำเร็จก็จะสามารถดาวน์โหลดมัลแวร์ตัวอื่น ๆ ต่อไป
วิธีการโจมตี
แคมเปญฟิชชิ่งดังกล่าวจะเริ่มต้นจากการส่งอีเมลที่ปลอมตัวเป็นลูกค้าที่ต้องการส่งเอกสารคืนมาให้เป้าหมาย เพื่อหลอกล่อให้เหยื่อทำการเปิดเอกสารแนบที่เป็นอันตราย โดยในเนื้อหาของจดหมายฟิชชิ่งตัวอย่างได้ระบุว่า “ฉันต้องขออภัยที่ไม่ได้ตอบกลับเร็วกว่านี้ การคืนภาษีส่วนบุคคลของเราควรง่าย และไม่ต้องใช้เวลามาก ฉันเชื่อว่าคุณต้องการสำเนาเอกสารของปีล่าสุดของเรา เช่น W-2, 1099, การจำนอง, ดอกเบี้ย, การบริจาค, การลงทุนทางการแพทย์, HSA และอื่น ๆ ที่ฉันอัปโหลดไว้ด้านล่าง”
โดย Phishing Mail เหล่านี้มีกระบวนการในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย โดยการแนบลิงค์อันตรายในเอกสารแนบที่จะนำไปสู่เว็บไซต์ที่จะดาวน์โหลดไฟล์ ZIP และเมื่อทำการดาวน์โหลดไฟล์ ZIP พร้อมทั้งเปิดออกมาจะพบว่าเป็นไฟล์ PDF สำหรับแบบฟอร์มภาษีต่าง ๆ ซึ่งที่จริงแล้วคือ Windows shortcut ที่ถูกปลอมแปลง
เมื่อทำการกดไปยัง Windows shortcut ดังกล่าว มันจะทำการเรียกใช้คำสั่ง PowerShell เพื่อดาวน์โหลดไฟล์ VBS และบันทึกไปยัง C:\Windows\Tasks\ โดย ไฟล์ VBS ดังกล่าวจะทำการดาวน์โหลดไฟล์ PDF และไปเปิดใน Microsoft Edge เพื่อหลีกเลี่ยงการตรวจจับ โดยไฟล์ VBS นี้จะทำการดาวน์โหลด และรันมัลแวร์ GuLoader ที่ใช้ในการติดตั้ง Remcos trojan (RAT) เพื่อเรียกใช้งานคำสั่งจากระยะไกล
ทั้งนี้ Microsoft ได้ระบุว่าการโจมตีดังกล่าวมุ่งเน้นไปที่องค์กรที่เกี่ยวข้องกับการจัดเตรียมภาษี บริการทางการเงิน CPA และบริษัทบัญชี และบริษัทบริการระดับมืออาชีพที่เกี่ยวข้องกับการทำบัญชี และภาษี โดยเฉพาะเนื่องจาก Phishing Mail มักจะใช้หัวข้อในอีเมลที่เกี่ยวข้องกับภาษีเพื่อส่งไปหาเป้าหมาย โดยหน่วยงาน และบริษัทที่เกี่ยวข้องกับบัญชี รวมถึงนักบัญชี มีข้อมูลที่มีความสำคัญสูงสำหรับบุคคล และองค์กร การที่เกิดเหตุการณ์ข้อมูลรั่วไหลในองค์กรประเภทนี้อาจส่งผลกระทบเป็นวงกว้าง พร้อมทั้งได้แนะนำให้ทำการตรวจสอบอีเมลที่ได้รับว่าส่งมาจากผู้ติดต่อที่ถูกต้องหรือไม่ รวมถึงมีไฟล์แนบที่น่าสังสัยหรือไม่
ที่มา : bleepingcomputer