骇客锁定美国报税季发动网钓攻击，窃取纳税人电脑机密资料

骇客滥用时事发动恶意程式攻击的现象，可说是时有所闻，最近有攻击者看上美国报税季即将到来，以寄送税务有关名义的钓鱼邮件，来发动RAT木马程式攻击，进而窃取报税人电脑的敏感资料。

资安厂商Cybereason近日指出，他们看到滥用NetWire和Remcos两款木马程式的攻击行动，针对纳税人而来。由于过往美国报税的截止日期为4月15日（今年延后到5月17日），再加上美国人几乎都是透过电子表单报税──根据美国财务部统计，2019年度的个人所得税里，超过9成税收是使用电子系统申报，因此，许多的纳税人可能会在电脑里存放相关资料，而成为这些骇客觊觎的目标。

其实，滥用NetWire木马程式向美国纳税人的攻击，2020年已有相关的事故。但Cybereason研究人员指出，这一波攻击引起他们关注之处，在于骇客采用的各式回避侦测手法。例如，他们看到钓鱼邮件里夹带的恶意文件档案容量相当大，约有7MB，防毒软件很可能会略过而不扫描。

再者，则是攻击者藏匿作案工具的方式，也相当繁复。骇客事先将攻击工具NetWire或Remcos埋入图片档案，并上传到合法的图片网站Imgur。然后，攻击者再滥用合法的OpenVPN用户端应用程序，以侧载的方式在受害电脑执行恶意DLL档案，下载并植入NetWire或是Remcos，而且这些木马程式执行的方式，同样是透过合法的应用程序侧载──攻击者使用记事本程式（notepad.exe）载入这些处理程序。研究人员指出，透过这些精密的隐藏手法，他们透过VirusTotal检测钓鱼邮件里的文件档案，能发现含有恶意内容的防毒引擎并不多，有些版本的恶意Word文件，只有3个防毒引擎识别为有毒。

而NetWire与Remcos究竟会带来那些危害？Cybereason指出，两者都可让攻击者下载并执行额外酬载、屏幕截图，但前者还能收集受害电脑的资讯、窃取浏览器的帐密与上网记录；而后者则是允许攻击者远端执行壳层指令，以及窃取剪贴簿的内容。