Contribuyentes estadounidenses atacados con malware RAT en ataques de phishing en curso

Los contribuyentes estadounidenses son el blanco de ataques de phishing que intentan robar sus computadoras utilizando malware y robar información personal y financiera confidencial.

Según el Departamento del Tesoro, el IRS recibió más de 141 millones de declaraciones de impuestos individuales [PDF] durante la temporada de archivo de 2019, de los cuales aproximadamente el 90,4% (aproximadamente 127 millones) se archivó electrónicamente.

"La ingeniería social a través del correo electrónico de phishing sigue siendo el método de infección preferido tanto por los ciberdelincuentes como por los actores de amenazas de los estados nacionales", dijo Assaf Dahan, director senior y jefe de investigación de amenazas de Cybereason.

"El potencial de daño es severo y el malware permite que las amenazas obtengan un control total sobre la máquina de la víctima y roben información confidencial de los usuarios o sus empleadores".

Esta campaña de phishing en curso tendrá más tiempo para infectar a los contribuyentes con malware, ya que el Departamento del Tesoro y el Servicio de Impuestos Internos (IRS) anunciaron el miércoles que la fecha límite para la declaración de impuestos federales para las personas sería prorrogado por otros 30 días al 17 de mayo de 2021.

Evite la detección mediante esteganografía, descarga lateral de DLL y abuso legítimo de la plataforma

Los atacantes envían correos electrónicos con documentos adjuntos maliciosos disfrazados de documentos fiscales pidiendo a las víctimas potenciales que habiliten la modificación como se describe en un relación lanzado hoy por el equipo Cybereason Nocturnus.

En cambio, esto permitirá que las macros integradas descarguen un cargador de malware que utiliza la carga lateral de DLL para implementar y lanzar una carga útil NetWire o Remcos oculta dentro de un archivo de imagen alojado en el servicio de almacenamiento de imágenes en la nube imgur.

Los documentos maliciosos también evaden los virus anti-malware tradicionales y las detecciones heurísticas al abusar del servicio imgur para alojar cargas útiles de malware, lo que dificulta aún más la detección y el bloqueo de sus ataques.

"El uso de diversas técnicas como la esteganografía, el almacenamiento de cargas útiles en servicios legítimos basados ​​en la nube y la explotación de la descarga de DLL contra software legítimo hace que estas campañas sean muy difíciles de detectar", agregó Dahan.

"La información confidencial recopilada de las víctimas puede venderse en comunidades clandestinas y utilizarse para llevar a cabo todo tipo de robo de identidad y fraude financiero".

Malware RAT utilizado para detectar dispositivos de contribuyentes

NetWire es Remcos son dos conocidos troyanos comerciales de acceso remoto (RAT) distribuidos bajo un modelo de Malware-as-a-Service (MaaS) basado en suscripción.

Ambas cepas de RAT han sido identificadas en ataques coordinados por grupos de hackers patrocinados por el estado y actores de amenazas motivados financieramente.

Proporcionan a los atacantes funciones de registro de teclas, robo de contraseñas y control remoto que les permiten tomar el control de los dispositivos comprometidos.

Se ha identificado a estafadores haciéndose pasar por el IRS en correos electrónicos que intentan engañar a los objetivos para que paguen montos pendientes fabricados relacionados con pagos atrasados ​​o perdidos y amenazándolos con honorarios legales.

La información confidencial recopilada durante estas campañas de phishing podría utilizarse posteriormente para el robo de identidad y el fraude fiscal.

La Comisión Federal de Comercio de EE. UU. (FTC) advirtió el mes pasado que la cantidad de informes de robo de identidad se duplicó durante 2020 en comparación con 2019, alcanzando un récord de 1.4 millones de informes en un solo año.