05 Апреля 2023 09:23 05 Апр 2023 09:23 |

Поделиться

Одобренный властями США онлайн-сервис подачи налоговых деклараций подсаживал посетителям трояны

Отчитался о доходах – получил малварь

Сервис eFile.com для формирования и отправки налоговых деклараций в электронном виде раздавал посетителям принадлежащего ему сайту вредоносное ПО. Это продолжалось по меньшей мере две недели, пишет Bleeping Computer. Как отмечает источник, сервис авторизован Налоговой службой США (IRS) в качестве провайдера соответствующих услуг, но не находится под ее управлением.

Вредоносный код, написанный на языке программирования JavaScript (JS), присутствовал в файле “popper.js”, который, по информации издания, можно было обнаружить едва ли не на каждой из страниц сайта eFile.com вплоть до 1 апреля 2023 г.

Этот файл, помимо легитимного кода, включал короткий фрагмент, закодированный base64, который пытался загрузить и выполнить другой JS-файл, генерируемый на стороннем веб-ресурсе “infoamanewonliag[.]online” при помощи PHP-скрипта “/update/index.php”.

На момент публикации данного материала серверы, связанные с этим ресурсом недоступны, а файл “popper.js” более не содержит закодированного фрагмента, который, вероятно, предназначался для загрузки вредоносного ПО на компьютеры посетителей eFile.com.

Примечательно, что присутствие JS-малвари на сайте eFile.com было зафиксировано в преддверии завершения периода приема деклараций о доходах за прошлый год, в 2023 г. намеченного на 18 апреля. Это не первый случай целенаправленной атаки на американских налогоплательщиков. В конце марта 2023 г. CNews писал о том, что под видом официальной налоговой формы W-9 в США распространяется вредонос Emotet.

Взлом сайта eFile.com двухнедельной давности

Как отмечает Bleeping Computer, 17 марта 2023 г. на дискуссионной площадке Reddit появилось несколько жалоб от пользователей eFile.com, обративших внимание на ошибку, сообщение о возникновении которой начал выдавать сервис. В сообщении говорилось, что посетитель использует браузер устаревшей версии, и это якобы вызывает проблемы в обеспечении безопасного доступа к сайту по протоколам HTTPS/SSL.

Некоторые из столкнувшихся с проблемой участники обсуждения сразу заподозрили неладное. Пользователи предположили, что сайт мог подвергнуться атаке – эта гипотеза впоследствии подтвердилась.

О том, что сообщение об ошибке является поддельным, можно было догадаться, проявив наблюдательность. Во-первых, его текст содержал несколько грамматических ошибок и опечаток, что нехарактерно для легитимных уведомлений. Во-вторых, индикатор безопасного подключения в браузере (в Google Chrome он, к примеру, расположен слева от строки адреса и выглядит, как небольшой навесной замок), не сигнализировал о проблемах с SSL. Наконец, для получения обновленной версии браузера в сообщении предлагалось перейти по внешней ссылке, что тоже крайне странно: современные браузеры обновляются самостоятельно или по инициативе пользователя – через соответствующие встроенные в программу инструменты.

Исследование веб-ресурса специалистами позволило обнаружить еще один вредоносный скрипт под названием “update.js”, который и отвечал за формирование поддельного сообщения об ошибке. Как и в случае с “popper.js”, о котором стало известно позднее, программа была закодирована base64 и обращалась к “infoamanewonliag[.]online”.

Задачей “update.js” было склонить пользователя к загрузке раннее неизвестных троянов в виде исполняемых файлов Windows: installer.exe – в случае использования посетителем браузера Firefox и update.exe – при попытке зайти на eFile.com с помощью Chrome. Эти бинарники, согласно выводам Bleeping Computer, имели возможность устанавливать соединение с японским IP-адресом 47.245.6.91, связанным с хостингом на серверах китайского технологического гиганта Alibaba. Специалисты также установили факт наличия связи между этим IP и ранее упомянутым доменом “infoamanewonliag[.]online”.

Внутри – бэкдор на PHP

Исследователи из MalwareHunterTeam изучили выдающие себя за обновления для браузеров Chrome и Firefox двоичные файлы и выяснили, что те содержат код, написанный на языке PHP, который превращают машину загрузившего их пользователя в участника Windows-ботнета.

8 задач, чтобы перезапустить инженерную школу в России

импортонезависимость

Проанализировав PHP-скрипты, полученные от MalwareHunterTeam, Bleeping Computer пришел к выводу, что те несут в себе функциональность бэкдора и позволяют стоящему за ним злоумышленнику заполучить практически неограниченный удаленный доступ к зараженной машине.

Будучи запущенным, вредонос каждые 10 секунд обращается к удаленному управляющему серверу (C&C), находящемуся под контролем злоумышленника, и выполняет поступающие от него команды. Это может быть загрузка дополнительных файлов на зараженный ПК или выполнение Windows-команды при помощи PHP-функции “exec()”.

Как отмечает Bleeping Computer, несмотря на наличие у бэкдора лишь самых базовых функций, их вполне достаточно для получения первоначального доступа к зараженной машине, дальнейшего распространения трояна в корпоративной сети, а также развертывания иного вредоносного ПО, хищения пользовательских данных, в том числе с целью получения выкупа.

Масштаб распространения трояна среди пользователей eFile.com пока остается неизвестным, как и личность злоумышленников, стоящих за кампанией. Однако в январе 2022 г. группировка кибервымогателей LockBit заявляла об атаке на сервис.

Дмитрий Степанов

Поделиться

Подписаться на новости Короткая ссылка