网络犯罪分子通过模仿政府供应商提供IRS税诈骗网络钓鱼活动

最后更新 :2022.04.21

威胁情报公司重点细节骗子如何将IRS税诈骗者和网络钓鱼攻击造成的网络钓鱼攻击如何摆在政府供应商。在美国2001年美国国税局终止税返回截止日期前的邮件在美国2000年4月18日

第18章

,2022年有一个值得注意的广告系列,其中杠杆冒险的电子邮件冒充美国国税局,特别是为包括电子邮件,数字通信管理和内容交付系统提供有关各种更新的政府机构提供解决方案的行业供应商之一。网络犯罪分子故意选择特定时间,当我们所有人都忙于税收,准备假期(例如,复活节),这就是为什么你需要在这些时间特别小心。

冒充的IT服务供应商演员被广泛应用于主要联邦机构,包括DHS,以及美国的其他国家和城市的其他此类网站。该识别的网络钓鱼电子邮件警告受害者向IRS逾期支付,然后应该通过PayPal付款,电子邮件包含了一个模仿电子发票的HTML附件。

Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors
特别地,电子邮件不包含任何URL,并已成功交付给受害者的收件箱,而不会被标记为潜在的垃圾邮件。基于被检查的标题,通过多个“跳”发送了电子邮件,利用了在U.:[123中注册的主要网络主机和域名

Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors值得注意的是,值得注意的是发票包含基于JS的OBF按区域过滤。

Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors在用户打开HTML附件之后,网络钓鱼脚本将鼓励用户输入他的凭据,这是通过利用交互式表格来实现的Office 365授权机制。

一旦用户进入其凭据,网络钓鱼套件会自动尝试通过IMAP协议检查对受害者的电子邮件帐户的访问:[123Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors

基于去混淆的JS含量,演员利用“支持衍生物[。] COM”域。可能的是,威胁演员试图冒充 微软 通过使用具有类似拼写的域的技术支持和技巧用户。

Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors

脚本拦截en通过POST请求进行凭据并通过它们:

Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors http post将登录名和密码传输到部署在jbdelmarket [。] com:

Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors

Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors

Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors

Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors123]域jbdelmarket [。] com正在托管一组脚本来分析受害者的IP:

Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors

参与者登录访问网络钓鱼页面的所有主机:

Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors
特别是,网络钓鱼电子邮件的报头含有若干结构域名,具有SPF记录和DKIM:

Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors另外,攻击者利用包括&nbsp的电子邮件标题字段;
x-countercode

 (“usirs”),  x-dementory-id   x-reportingkey (hellenanichols @ hotmail [。] com)。

phishing e-mail还具有
返回路径Cybercriminals Deliver IRS Tax Scams & Phishing Campaigns by Mimicking Government Vendors字段定义为由攻击者控制的另一封电子邮件,该邮件收集有关不成功的电子邮件的信息。
返回路径

用于procESS从电子邮件中反弹,它定义了将如何以及击退的电子邮件将如何以及何地处理。] https://resecurity.com/blog/article/cybercriminals-deliver-irs-tax-scams-phishing-campaigns-by-mimicking-government-venders

请投票为安全事务作为最佳欧洲网络安全博主奖奖励2022投票给您的获奖者

投票给我在弱者最适合个人(非商业)安全博客和Tech Whiz最佳技术博客和其他人选择。

提名,请访问: https://docs.google.com/forms/d/e/1faipqlsfxxriscimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/viewform

- END -

看更多