Microsoft met en garde contre une campagne de phishing ciblant les cabinets comptables et les préparateurs de déclarations avec des logiciels malveillants d’accès à distance permettant un accès initial aux réseaux d’entreprise.
Alors que les États-Unis arrivent à la fin de leur saison fiscale annuelle, les comptables se bousculent pour rassembler les documents fiscaux des clients afin de remplir et de déposer leurs déclarations de revenus.
Pour cette raison, c’est le moment idéal pour les pirates de cibler les préparateurs de déclarations de revenus, en espérant qu’ils ouvrent par erreur des fichiers malveillants avec lesquels ils seraient généralement plus prudents lorsqu’ils sont moins occupés.
C’est exactement ce que Microsoft voit dans une nouvelle escroquerie par hameçonnage ciblant les fiscalistes pour installer le logiciel malveillant cheval de Troie d’accès à distance Remcos.
« À l’approche du Jour de l’impôt aux États-Unis, Microsoft a observé des attaques de phishing ciblant des cabinets de comptabilité et de préparation de déclarations de revenus pour livrer le cheval de Troie d’accès à distance (RAT) Remcos et compromettre les réseaux cibles à partir de février de cette année », prévient Microsoft dans un nouveau rapport.
Cibler les fiscalistes
La campagne de phishing commence par des e-mails qui se font passer pour des clients envoyant les documents nécessaires pour compléter leur retour.
« Je m’excuse de ne pas avoir répondu plus tôt; notre déclaration de revenus individuelle devrait être simple et ne pas nécessiter beaucoup de votre temps », lit-on dans un e-mail de phishing vu par Microsoft.
« Je pense que vous auriez besoin d’une copie de nos documents de l’année la plus récente, tels que les W-2, les 1099, les hypothèques, les intérêts, les dons, les investissements médicaux, les HSA, etc. que j’ai téléchargés ci-dessous. »
Ces e-mails de phishing contiennent des liens qui utilisent des services de suivi des clics pour échapper à la détection par les logiciels de sécurité et conduisent finalement à un site d’hébergement de fichiers qui télécharge une archive ZIP.
Cette archive ZIP contient de nombreux fichiers prétendant être des fichiers PDF pour divers formulaires fiscaux, mais sont en réalité des raccourcis Windows.
Lorsque vous double-cliquez dessus, ces raccourcis Windows exécutent PowerShell pour télécharger un fichier VBS fortement obscurci à partir d’un hôte distant, qui est enregistré dans C:\Windows\Tasks\ et exécuté.
Dans le même temps, le script VBS va télécharger un fichier PDF leurre et l’ouvrir dans Microsoft Edge pour ne pas éveiller les soupçons de la personne ciblée.
Microsoft indique que ces fichiers VBS téléchargeront et exécuteront le logiciel malveillant GuLoader, qui à son tour installe le cheval de Troie d’accès à distance Remcos.
Remcos est un cheval de Troie d’accès à distance que les pirates utilisent couramment dans les campagnes de phishing pour obtenir un accès initial aux réseaux d’entreprise.
En utilisant cet accès, les acteurs de la menace peuvent se propager plus loin sur le réseau, voler des données et déployer d’autres logiciels malveillants sur un appareil.
Microsoft affirme que si les campagnes de phishing utilisent généralement des thèmes liés à la fiscalité, cette campagne est inhabituelle car elle ne cible que les entreprises et les particuliers chargés de la préparation des déclarations de revenus.
« Alors que les leurres d’ingénierie sociale comme celui-ci sont courants autour de Tax Day et d’autres grands événements d’actualité, ces campagnes sont spécifiques et ciblées d’une manière peu commune. »
« Les cibles de cette menace sont exclusivement les organisations qui s’occupent de la préparation des déclarations de revenus, des services financiers, des CPA et des cabinets comptables, et des entreprises de services professionnels traitant de la comptabilité et de la fiscalité. »
Comme les comptables détiennent des données hautement sensibles pour les particuliers et les entreprises, une violation de données dans ce type d’organisation pourrait nuire considérablement à un grand groupe de personnes.
Étant donné que les chargeurs initiaux du logiciel malveillant de cette campagne sont des fichiers malveillants se faisant passer pour des fichiers PDF, nous recommandons toujours aux utilisateurs d’activer l’affichage des extensions de fichier dans Windows afin qu’ils puissent identifier les fichiers suspects.
Malheureusement, les raccourcis Windows sont un type de fichier spécial qui utilise l’extension de fichier .lnk mais n’affiche pas l’extension de fichier lorsqu’il est affiché dans l’Explorateur de fichiers.
Ce comportement rend plus difficile la détection qu’un fichier est un raccourci déguisé. Cependant, la liste des fichiers dans l’Explorateur de fichiers en mode « Détails » montrera qu’il s’agit d’un raccourci Windows, ce qui le rendra un peu plus facile à repérer.
En fin de compte, personne ne doit cliquer sur les liens dans les e-mails ou ouvrir les pièces jointes à moins de confirmer s’ils proviennent d’un contact légitime. Sinon, supprimez l’e-mail.