Hacker greifen E-File-Steuervorbereitungssoftware an, während die Frist naht

Laut BleepingComputer wurde der vom IRS autorisierte Steuervorbereitungssoftwaredienst eFile.com kürzlich mitten in der Steuersaison einem JavaScript-Malware-Angriff ausgesetzt.

Die schändliche JavaScript-Datei wurde identifiziert als popper.js und wurde sowohl von eFile.com-Benutzern als auch von Sicherheitsforschern beobachtet. Es wird angenommen, dass die Malware etwa Mitte März auf dem Dienst aufgetaucht ist und mit „fast jeder Seite von eFile.com, zumindest bis zum 1. April“, interagiert hat, heißt es in der Veröffentlichung weiter.

Die Begegnung mit diesem infizierten JavaScript auf eFile.com würde wahrscheinlich dazu führen, dass ein defekter Link angezeigt wird, der von infoamanewonliag zurückgegeben wird[.]online. Benutzer des Dienstes begannen am 17. März mit der Diskussion über die Möglichkeit eines Angriffs auf Reddit und stellten fest, dass eine SSL-Fehlermeldung, die sie erhielten, offenbar gefälscht war.

Die Forscher bestätigten, dass die Fehler auf einen Malware-Angriff hindeuteten, und brachten sie auch mit der JavaScript-Malware-Datei in Verbindung update.js. Diese Datei fungierte in der Malware als Anhaltspunkt, um Benutzer zum Herunterladen der Datei zu veranlassen, und kann letztendlich je nach verwendetem Browser variieren, z [update.exe – VirusTotal] für Chrome oder [installer.exe – VirusTotal] für Firefox.

BleepingComputer hat eigene Recherchen zu der Malware durchgeführt und herausgefunden, dass die Angreifer, die die Malware orchestrierten, dies von einer in Tokio ansässigen IP-Adresse 47.245.6.91 aus taten, die wahrscheinlich bei Alibaba gehostet wurde. Die Veröffentlichung verknüpfte auch die IP-Adresse mit der infoamanewonliag[.]Online-Domain, die ebenfalls mit den Angriffen in Zusammenhang steht.

BleepingComputer konnte ein Beispiel des Malware-Skripts untersuchen, das von der Sicherheitsforschungsgruppe MalwareHunterTeam entdeckt und in PHP geschrieben wurde. In der Veröffentlichung wurde festgestellt, dass es sich bei dem Skript um eine „Backdoor-Malware“ handelt, mit der Hacker infizierte Geräte aus der Ferne steuern können. Nach der Infektion wird das PHP-Skript im Hintergrund ausgeführt, sodass die Malware alle zehn Sekunden von einem Kontrollserver aus eine Verbindung zu einem Gerät herstellen kann, um die vom Angreifer gewünschten schändlichen Aktionen auszuführen.

Obwohl es sich bei der Malware um eine „grundlegende Hintertür“ handelt, besteht für böswillige Akteure ein großes Potenzial, sie für sehr schlechte Zwecke zu nutzen, einschließlich des Diebstahls von Anmeldeinformationen oder des Diebstahls von Daten zur Erpressung, heißt es in der Veröffentlichung.

MalwareHunterTeam kritisierte eFile.com dafür, dass der Angriff mehrere Wochen lang nicht angegangen wurde. Es wurde inzwischen gelöst; Das Ausmaß seiner Auswirkungen bleibt jedoch unbekannt.