The Autoryzowane przez IRS przygotowanie podatkowe Serwis oprogramowania eFile.com niedawno padł ofiarą ataku złośliwego oprogramowania JavaScript w środku sezonu podatkowego Piszczący Komputer.
Nikczemny plik JavaScript został zidentyfikowany jako popper.js i został zaobserwowany przez użytkowników eFile.com, a także przez badaczy bezpieczeństwa. Uważa się, że złośliwe oprogramowanie pojawiło się w usłudze około połowy marca i wchodziło w interakcje z „prawie każdą stroną eFile.com, przynajmniej do 1 kwietnia” – dodano w publikacji.
Napotkanie tego zainfekowanego kodu JavaScript na eFile.com prawdopodobnie spowodowałoby wyświetlenie niedziałającego łącza, które jest zwracane przez infoamanewonliag[.]online. Użytkownicy serwisu zaczęli dyskutować o możliwości ataku na Reddicie 17 marca, zauważając, że otrzymywany przez nich komunikat o błędzie SSL okazał się fałszywy.
Polecane filmy
Badacze potwierdzili, że błędy wskazywały na atak złośliwego oprogramowania, łącząc je również z plikiem złośliwego oprogramowania JavaScript
aktualizacja.js. Ten plik działał w złośliwym oprogramowaniu jako wskazówka, aby użytkownicy pobrali plik i ostatecznie może się różnić w zależności od używana przeglądarka, na przykład [update.exe – VirusTotal] dla Chrome lub [installer.exe – VirusTotal] dla Firefoksa.Po przeprowadzeniu własnych badań nad złośliwym oprogramowaniem, BleepingComputer dowiedział się, że sprawcy zorganizowanie złośliwego oprogramowania zrobiło to z adresu IP z siedzibą w Tokio, 47.245.6.91, który prawdopodobnie był hostowany przez Alibaba. Publikacja powiązała również adres IP z domeną online infoamanewonliag[.], która również jest powiązana z atakami.
BleepingComputer był w stanie przestudiować próbkę skryptu złośliwego oprogramowania, który został odkryty przez grupę badawczą ds. bezpieczeństwa, MalwareHunterTeam, który został napisany w PHP. W publikacji ustalono, że skrypt jest „złośliwym oprogramowaniem typu backdoor”, które umożliwia hakerom zdalną kontrolę zainfekowanych urządzeń. Po zainfekowaniu skrypt PHP działa w tle, umożliwiając złośliwemu oprogramowaniu łączenie się z urządzeniem z serwera kontrolnego co dziesięć sekund w celu wykonania dowolnych nikczemnych działań, jakich chce przestępca.
Pomimo tego, że złośliwe oprogramowanie jest „podstawowym backdoorem”, istnieje duży potencjał wykorzystania go przez złych aktorów bardzo złych celach, w tym kradzież danych uwierzytelniających lub kradzież danych w celu wymuszenia publikacji odnotowany.
MalwareHunterTeam skrytykował eFile.com za brak reakcji na atak przez kilka tygodni. Od tego czasu został rozwiązany; jednak zakres jego wpływu pozostaje nieznany.
Zalecenia redaktorów
- Najlepsze oprogramowanie podatkowe do składania podatków
Ulepsz swój styl życiaTrendy cyfrowe pomagają czytelnikom śledzić szybko zmieniający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zapowiedziom.
