Hacker haben diese beliebte Steuervorbereitungssoftware ausgelöscht, als die Einreichungsfrist droht
Laut BleepingComputer erlitt der vom IRS autorisierte Steuervorbereitungs- Softwaredienst eFile.com kürzlich mitten in der Steuersaison einen JavaScript-Malware-Angriff.
Die schändliche JavaScript-Datei wurde als popper.js identifiziert und sowohl von eFile.com-Benutzern als auch von Sicherheitsforschern beobachtet. Es wird angenommen, dass die Malware Mitte März auf dem Dienst aufgetaucht ist und mit „fast jeder Seite von eFile.com, zumindest bis zum 1. April“, interagiert hat, fügte die Veröffentlichung hinzu.
Die Begegnung mit diesem infizierten JavaScript auf eFile.com würde wahrscheinlich dazu führen, dass ein defekter Link angezeigt wird, der von infoamanewonliag[.]online zurückgegeben wird. Benutzer des Dienstes begannen am 17. März, die Möglichkeit eines Angriffs auf Reddit zu diskutieren, und stellten fest, dass eine SSL-Fehlermeldung, die sie erhielten, gefälscht zu sein schien.
Die Forscher bestätigten, dass die Fehler auf einen Malware-Angriff hindeuten, und brachten sie auch mit der JavaScript-Malware-Datei update.js in Verbindung. Diese Datei fungierte in der Malware als Hinweis, um Benutzer zum Herunterladen der Datei zu veranlassen, und kann letztendlich je nach verwendetem Browser variieren, z. B. [update.exe – VirusTotal] für Chrome oder [installer.exe – VirusTotal] für Firefox.
Nachdem BleepingComputer seine eigene Recherche zu der Malware durchgeführt hatte, erfuhr es, dass die schlechten Akteure, die die Malware orchestrierten, dies von einer in Tokio ansässigen IP-Adresse, 47.245.6.91, taten, die wahrscheinlich bei Alibaba gehostet wurde. Die Veröffentlichung verband die IP-Adresse auch mit der Domain infoamanewonliag[.]online, die ebenfalls mit den Angriffen in Verbindung gebracht wird.
BleepingComputer konnte ein Beispiel des Malware-Skripts untersuchen, das von der Sicherheitsforschungsgruppe MalwareHunterTeam entdeckt wurde und in PHP geschrieben wurde. Die Veröffentlichung stellte fest, dass es sich bei dem Skript um eine „Backdoor-Malware“ handelt, mit der Hacker infizierte Geräte fernsteuern können. Nach der Infektion läuft das PHP-Skript im Hintergrund und ermöglicht es der Malware, sich alle zehn Sekunden mit einem Gerät von einem Kontrollserver zu verbinden, um alle schändlichen Aktionen auszuführen, die der Angreifer will.
Obwohl die Malware eine „einfache Hintertür“ ist, gibt es ein großes Potenzial für schlechte Akteure, sie für sehr schlechte Zwecke zu verwenden, einschließlich des Diebstahls von Anmeldeinformationen oder des Diebstahls von Daten für Erpressungszwecke, stellte die Veröffentlichung fest.
Das MalwareHunterTeam kritisierte eFile.com dafür, dass es den Angriff mehrere Wochen lang nicht angegangen sei. Es wurde inzwischen behoben; Das Ausmaß seiner Auswirkungen ist jedoch unbekannt.