Birçok kişi tarafından vergi beyannamelerini dosyalamak için kullanılan IRS-yetkili bir e-dosya yazılım hizmet sağlayıcısı olan EFILE.com, JavaScript kötü amaçlı yazılım sunarken yakalandı.
Güvenlik araştırmacıları, haftalarca eFile.com web sitesinde bulunan kötü amaçlı JavaScript dosyasının bulunduğunu belirtiyor. BleepingComputer, o sırada söz konusu kötü amaçlı JavaScript dosyasının varlığını doğrulayabildi.
Not, bu güvenlik olayı özellikle IRS'nin e-dosya altyapısı veya özdeş sondaj alanları değil, EFile.com ile ilgilidir.
Efile.com, birden fazla kullanıcı ve araştırmacı tarafından tespit edildiği gibi kötü amaçlı yazılım sunarken yakalandı. Söz konusu kötü amaçlı JavaScript dosyasına 'Popper.js' denir:
Geliştirme, ABD vergi mükelleflerinin 18 Nisan tarihinden önce IRS vergi beyannamelerini tamamladığı önemli bir zamanda geliyor.
Yukarıdaki vurgulanan kod, aşağıda gösterilen kod çözülmüş sürümü ile Base64 kodlanmıştır. Kod, infoamanewonliag tarafından döndürülen javascript'i yüklemeye çalışıyor [.] Çevrimiçi:
Sonunda Math.random () kullanımı önbelleğe almayı önleyecek ve kötü amaçlı yazılımın yeni bir kopyasını yükleyecektir - tehdit oyuncusu her şeyde değişiklik yapmalı mı, Efile.com her ziyaret edildiğinde. Yazma sırasında, son nokta artık yükselmedi.
BleepingComputer onaylayabilir, kötü amaçlı JavaScript dosyası 'Popper.js' en azından 1 Nisan'a kadar hemen hemen her sayfa tarafından yükleniyor.
Bugün itibariyle, dosya artık kötü amaçlı kod sunan görülmemektedir.
17 Mart'ta, birden fazla EFILE.com kullanıcılarının web sitesinin "kaçırıldığından" şüphelendiği bir Reddit iş parçacığı ortaya çıktı.
O zaman, web sitesi, bazıları şüpheli, sahte ve bir hack göstergesi olan bir SSL hata mesajı gösterdi:
Gerçekten de böyle. Araştırmacılar, Amazon AWS uç noktası tarafından sunulan bu saldırıyla ilişkili ek bir 'Update.js' dosyasını tespit ettiler.
BleepingComputer, 'Update.js' olarak adlandırıldı ve İçinde Base64 kodlu HTML kodu (aşağıda vurgulanmış) olarak mevcut sahte SSL hata mesajını fark ettik:
Sahte SSL hatasını oluşturan kod çözülmüş dizeden bir HTML alıntı aşağıda gösterilmiştir:
Kötü amaçlı JavaScript dosyası 'Updge.js', daha fazla kullanıcıları Chrome [Update.exe -Virustotal] veya Firefox [installer.exe -virustotal] kullanıp kullanmadıklarına bağlı olarak bir sonraki aşama yükünü indirmeye teşvik etmeye çalışır. Antivirüs ürünleri zaten bu yürütülebilir ürünleri Truva atları olarak işaretlemeye başladı.
BleepingComputer, bu ikili dosyaların, Alibaba ile barındırılmış gibi görünen 47.245.6.91 Tokyo tabanlı bir IP adresi ile bağlantı kurduğunu doğruladı. Aynı IP, bu olayla ilişkili olan Infoamanewonliag [.] Çevrimiçi olarak yasadışı alan adına da ev sahipliği yapar.
Güvenlik Araştırma Grubu MalwareHunterTeam bu ikili dosyaları daha fazla analiz etti ve bunların PHP'de yazılmış Windows botnetleri içerdiğini belirtti - araştırma grubunun alay ettiği bir gerçek. Ayrıca grup, kötü amaçlı kodu web sitesinde haftalarca bıraktığı için efile.com'u aradı:
MalwarehunterTeam, "Yani, [Efile.com] web sitesi ... en azından Mart ortasında tehlikeye atıldı ve hala temizlenmedi."
Reddit iş parçacığına atıfta bulunarak, grup ayrıca, "... Hizmet hizmeti alan yüklerden bile 15 gün önce bahsedildi. Bu henüz daha fazla dikkat çekmedi?"
SANS Institute'dan Dr. Johannes Ulrich de konunun bir analizini yayınladı.
BleepingComputer, MalwareHunterTeam tarafından görülen PHP komut dosyasının bir örneğini analiz etti ve tehdit aktörünün enfekte bir cihaza uzaktan erişmesine izin veren bir arka kapı kötü amaçlı yazılım olduğunu belirledi.
Kötü amaçlı yazılım bir cihaza bulaştığında, arka planda sessizce çalışan bir PHP komut dosyası yürütür.
Her on saniyede bir, kötü amaçlı yazılım, enfekte olmuş cihazda yürütme görevi almak üzere tehdit aktörleri tarafından çalıştırılan bir uzaktan komut ve kontrol sunucusuna bağlanacaktır.
Bu görevler bir komut yürütmeyi ve çıktısını saldırganlara geri göndermeyi veya bilgisayara ek dosya indirmeyi içerir.
Bu yalnızca temel bir arka kapı olsa da, bir cihaza tam erişim sağlamak için yeterli işlevselliğe sahiptir ve tehdit oyuncusunun daha fazla saldırı için kurumsal bir ağa ilk erişimine izin verir.
Bu saldırılar ek kötü amaçlı yazılımlar dağıtmak, kimlik bilgilerini çalmak, bir ağa yanal olarak yayılmak veya gasp için verileri çalmak olabilir.
Saldırının herhangi bir EFILE.com ziyaretçisini ve müşterilerini başarıyla bulaşması da dahil olmak üzere bu olayın tam kapsamı henüz öğrenilmemiştir.
BleepingComputer, yayınlamadan önce sorularla eFile.com'a yaklaştı.
Ocak 2022'de Lockbit Fidye yazılımı çetesi EFILE.com'a saldırdığını iddia etti. O zaman, BleepingComputer şirketten bir saldırıyı onaylayan veya reddeden bir yanıt almadı.
GÜNCELLEME 4/4/23 18:57 ET: Backdoor yükü hakkında daha fazla bilgi eklendi.
IRS'den sahte W-9 vergi formları olarak dağıtılan Emotet kötü amaçlı yazılım
ABD vergi mükellefleri, devam eden kimlik avı saldırılarında sıçan kötü amaçlı yazılımlarla hedeflenen
Kripto para birimi şirketleri 3CX tedarik zinciri saldırısında geri yüklendi
3CX Saldırı'nda kullanılmış 'Sabit' Fix ile 10 yaşındaki Windows Hatası
Microsoft Onenote 120 tehlikeli dosya uzantısını engelleyecek
Kaynak: Bleeping Computer