Hackers infectam serviço de declaração de impostos eFile com malware

eFile tax return service

O serviço eFile, usado por muitos americanos para apresentar suas declarações fiscais e autorizado pela Receita Federal dos EUA (Receita Federal), vem distribuindo malware há várias semanas.

Deixe-me lembrá-lo de que também informamos que Grupo de hackers de língua russa Wyvern do Inverno Ataca governos na Europa e na Ásia, e também isso Google Denunciar empresas que criam spyware móvel para governos.

A mídia também escreveu que Hackers chineses usam um novo backdoor para espionar o governo do país no Sudeste Asiático.

eFile.com foi comprometido pela primeira vez em meados de março 2023 quando um usuário relatado em Reddit que os visitantes do site estavam sendo redirecionados para uma página de erro falsa, onde as vítimas eram informadas de que precisavam de uma atualização do navegador.

Serviço de declaração de impostos eFile
Mensagem de erro de conexão falsa que oferece atualização do navegador

Ao clicar no “atualizar navegador” link, os usuários foram apresentados a um dos dois arquivos executáveis (atualização.exe e instalador.exe).

De acordo com Computador bipando, o arquivo JavaScript popper.js foi injetado no eFile.com para este ataque. O código base64 destacado na captura de tela abaixo tenta carregar JavaScript de infoamanewonliag[.]on-line. Além disso, popper.js foi carregado em quase todas as páginas do eFile.com, pelo menos até abril 1, 2023.

Serviço de declaração de impostos eFile

Os pesquisadores também descobriram um arquivo update.js associado a este ataque. Foi ele o responsável pela falsa mensagem de erro que os usuários viram.

Serviço de declaração de impostos eFile

Os arquivos update.exe e installer.exe acima estão conectados ao endereço IP de Tóquio 47.245.6.91 hospedado por Alibaba. O mesmo endereço IP hospeda o infoamanewonliag[.]domínio online também mencionado acima.

Especialistas do Equipe MalwareHunter examinou os arquivos e afirmou que eles contêm malware do Windows escrito em PHP. SANS Internet Storm Center especialistas também apresentaram suas próprias análises, que enfatizam isso malware é mal detectado por produtos antivírus, e o arquivo update.exe está completamente assinado por um certificado válido de Sichuan Niurui Ciência e Tecnologia Co., Ltda.

Johannes Ulrich
Johannes Ulrich

Especialista SANS Johannes Ulrich explica que update.exe é escrito em Python e serve como carregador para um script PHP que se comunica com os invasores’ servidor de comando e controle.

Sua principal função é baixar e executar código adicional conforme as instruções. Durante a instalação, informações básicas do sistema são passadas para o invasor, e o backdoor é corrigido no sistema usando tarefas agendadas e entradas de registro na inicialização.

Na verdade, este backdoor PHP se conecta ao URL fornecido a cada 10 segundos e executa todos os comandos que recebe de seus operadores. A porta de trás, de acordo com Ulrich, suporta três tarefas: execução de código, uploads de arquivos, e cronograma de execução. Embora este seja apenas um backdoor básico, suas funções são suficientes para dar ao hacker acesso total ao dispositivo infectado e acesso inicial à rede corporativa para novos ataques.

Serviço de declaração de impostos eFile
Snippet de código de backdoor

A extensão total deste incidente ainda está para ser vista, já que não está claro o sucesso do ataque e quantos visitantes e clientes do eFile.com foram afetados.

Atualmente, Os especialistas do eFile perceberam o problema e removeram o JavaScript malicioso de seu site, mas antes disso, os próprios invasores perceberam que os haviam descoberto e tentaram “limpar” o site, provavelmente tentando cobrir seus rastros.

<span longo = "um">Hackers infectam serviço de declaração de impostos eFile com malware</período>

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *