Araştırmacılar, IRS yetkili vergi hizmeti eFile.com’un ele geçirilmiş ve kötü amaçlı yazılım dağıtmak için kullanılmış gibi göründüğünü ortaya çıkardı.
Web sitesi, Vergi İadesi dosyalama hizmetleri sunan, İç Gelir Servisi (IRS) tarafından yetkilendirilmiş bir e-dosya yazılım çözümü barındırmaktadır. (yeni sekmede açılır).
Müşterilerin yanı sıra birden çok güvenlik ekibi tarafından bildirildiği üzere, bir tehdit aktörü 2023 Mart ayı ortalarında “popper.js” adlı kötü amaçlı bir JavaScript dosyası enjekte ederek web sitesinin güvenliğini aşmayı başardı. Bu dosya sitenin hemen hemen tüm sayfalarında mevcuttu ve ziyaretçilere ikinci aşama bir yük indirmeye çalıştı.
Tam kontrol
Yük, PHP ile yazılmış bir Windows botnet’idir. Ziyaretçilerin Chrome veya Firefox kullanmasına bağlı olarak farklı sürümler vardır. Çoğu virüsten koruma programı artık botnet’i bir truva atı olarak işaretliyor ve web sitesi 1 Nisan’dan itibaren onlara hizmet vermeyi durdurdu. Temel işlevi, saldırganlara daha sonra başka saldırılar için kullanabilecekleri hedef uç noktaya tam erişim sağlamaktır. hedef ağ boyunca hareket. Daha fazla saldırı, kötü amaçlı yazılım, bilgi hırsızı ve hatta fidye yazılımı dağıtmalarına neden olabilir.
Araştırmacılar, saldırının arkasında kimin olduğunu henüz tam olarak belirlemezken, iki versiyonun Alibaba tarafından barındırıldığı anlaşılan Tokyo merkezli bir IP adresine bağlantı kurmaya çalıştığı tespit edildi. Aynı IP adresinin farklı bir yasa dışı etki alanı barındırdığı da bulundu.
Bu kampanya sonucunda kaç kişinin tehlikeye girdiğini değerlendirmek zor. Olayın tüm kapsamı görülmeye devam ediyor.
Bu haber, özellikle tüketicilerin ve işletmelerin vergi beyannamelerini vermek için 18 Nisan’a kadar zamanları olan Amerika Birleşik Devletleri’nde vergi beyannamesi dönemi olduğu için endişe verici. Siber suçluların genellikle faaliyetleri için bir başlangıç noktası olarak kullandıkları bir olaydır. Bazen parayı çalmak için başkalarının kimliklerini üstlenir ve onlar adına vergi beyan ederlerdi. Diğer senaryolarda, IRS’nin kimliğine bürünürler ve e-posta yoluyla kötü amaçlı yazılım göndermeye çalışırlar.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
