税务和电子文件服务eFile.com遭到攻击提供恶意软件服务

经美国国税局(IRS)授权的eFile.com在线服务被发现向访问者提供恶意软件。

eFile.com是美国国税局(IRS)授权的个人在线报税和电子文件服务，被发现向访问者提供恶意软件。

该服务可帮助纳税人提交纳税申报表，专家报告称，eFile.com于 3 月中旬首次遭到入侵，并且仅在本周进行了清理。

Reddit上的一位用户注意到，试图加载该网站的纳税人被重定向到一个虚假的“网络错误”页面，该页面指示他们下载虚假的浏览器更新（称为“installer.exe”或“update.exe”）以正确访问该服务.

“任何加载网站www.efile.com的尝试似乎都会重定向到虚假的“网络错误”页面，声称需要“浏览器更新”才能访问该站点并提供下载名为“installer.exe”的应用程序的链接或“update.exe”，具体取决于使用的浏览器。在Reddit上解释了用户。

“我附上了错误的屏幕截图。请注意，地址栏中的锁定图标表示该站点是安全的，这与页面正文中的错误消息：“NET::ERR_SSL_VERSION_OR_CIPHER_MISMATCH”相矛盾，单击“高级”会显示包含多个拼写错误、格式和错误的更多详细信息语法错误。所有这些都表明该网站已被入侵并被用来传播恶意软件。”

来自SANS Internet Storm Center的专家Johannes Ullrich解释说，该服务提供的恶意软件只能由Crowdstrike和Cynet反恶意软件解决方案检测到。

Ullrich注意到eFile.com在4月3日从网站上删除了恶意JavaScript代码，然而，攻击者“反应更快并删除了一些额外的恶意软件”以掩盖他们的踪迹。

“根据浏览器的不同，您可能收到了两个二进制文件之一。“update.exe”或“installer.exe”。这些二进制文件是完全不同的。我将重点关注“update.exe”有两个原因：它用于Chrome用户，与另一个选项Firefox相比，这是绝大多数。其次，“update.exe”是用Python编写的，更易于分析。”乌尔里希写道。

专家发现该攻击涉及两个主要的可执行文件，即“update.exe”，它充当与C2服务器通信的PHP脚本的下载程序。PHP脚本下载并执行附加代码。

“在安装过程中，基本的系统信息被发送给攻击者，后门通过预定/启动注册表项持久存在。”专家补充道。

“update.exe”使用四川牛瑞科技有限公司的有效证书进行数字签名。

谁是这次袭击的幕后黑手？

没有证据可以识别攻击者，但Ullrich注意到部分攻击基础设施由阿里巴巴托管。

“一些攻击基础设施由阿里巴巴在中国托管，一些中文评论在代码中。所以可能是中国人。代码非常拼凑，笨拙的PHP指向一个不那么先进但可能仍然顽固的威胁演员。”专家总结道。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5554.html