駭客鎖定美國報稅季發動網釣攻擊，竊取納稅人電腦機密資料

駭客濫用時事發動惡意程式攻擊的現象，可說是時有所聞，最近有攻擊者看上美國報稅季即將到來，以寄送稅務有關名義的釣魚郵件，來發動RAT木馬程式攻擊，進而竊取報稅人電腦的敏感資料。

資安廠商Cybereason近日指出，他們看到濫用NetWire和Remcos兩款木馬程式的攻擊行動，針對納稅人而來。由於過往美國報稅的截止日期為4月15日（今年延後到5月17日），再加上美國人幾乎都是透過電子表單報稅──根據美國財務部統計，2019年度的個人所得稅裡，超過9成稅收是使用電子系統申報，因此，許多的納稅人可能會在電腦裡存放相關資料，而成為這些駭客覬覦的目標。

其實，濫用NetWire木馬程式向美國納稅人的攻擊，2020年已有相關的事故。但Cybereason研究人員指出，這一波攻擊引起他們關注之處，在於駭客採用的各式迴避偵測手法。例如，他們看到釣魚郵件裡夾帶的惡意文件檔案容量相當大，約有7MB，防毒軟體很可能會略過而不掃描。

再者，則是攻擊者藏匿作案工具的方式，也相當繁複。駭客事先將攻擊工具NetWire或Remcos埋入圖片檔案，並上傳到合法的圖片網站Imgur。然後，攻擊者再濫用合法的OpenVPN用戶端應用程式，以側載的方式在受害電腦執行惡意DLL檔案，下載並植入NetWire或是Remcos，而且這些木馬程式執行的方式，同樣是透過合法的應用程式側載──攻擊者使用記事本程式（notepad.exe）載入這些處理程序。研究人員指出，透過這些精密的隱藏手法，他們透過VirusTotal檢測釣魚郵件裡的文件檔案，能發現含有惡意內容的防毒引擎並不多，有些版本的惡意Word文件，只有3個防毒引擎識別為有毒。

而NetWire與Remcos究竟會帶來那些危害？Cybereason指出，兩者都可讓攻擊者下載並執行額外酬載、螢幕截圖，但前者還能收集受害電腦的資訊、竊取瀏覽器的帳密與上網記錄；而後者則是允許攻擊者遠端執行殼層指令，以及竊取剪貼簿的內容。