駭客假借提供美國報稅表單從事網釣,意圖藉由惡意廣告於民眾電腦植入遠端管理工具,並癱瘓防毒軟體運作
攻擊手法與流程
駭客在美國報稅季期間,透過惡意廣告(Malvertising)接觸納稅人與會計師,引誘其點擊廣告,進而下載所謂的「報稅相關應用程式」。
一旦使用者點擊廣告,駭客會提供看似合法的報稅應用程式,誘導下載如ScreenConnect等遠端管理軟體,讓攻擊者取得初步存取權,並進一步投放惡意程式進行後滲透。
惡意工具與防禦機制
攻擊者所使用的遠端管理工具包括ScreenConnect、HoldingHands RAT、GhOstCringe等,這些工具可讓駭客遠端控制受害者電腦,並執行惡意指令。
部分攻擊行動還會癱瘓防毒軟體運作,例如透過關閉防毒軟體的TCP連線,或在偵測到防毒軟體開啟連線時主動關閉該連線,以避免被發現。
相關案例與組織
- 微軟曾警示29,000名用戶遭冒用IRS名義的釣魚攻擊,攻擊者利用惡意ZIP、偽站與QR Code進行誘騙,並部署合法RMM工具取得持久存取權。
- 中國駭客組織Silver Fox(銀狐)近期調整戰術,鎖定臺灣財務人員,假借「國稅局抽查」或「電子發票」等名義,誘騙民眾下載惡意軟體。
- Fortinet發現臺灣企業遭駭客以「稅務稽核」為由寄送釣魚郵件,要求將資料轉送給財務主管,進而植入惡意程式。