Amadey Botnet针对美国纳税人提出退税通知

 
最近发现网络钓鱼活动通过虚假的所得税退税电子邮件向美国的纳税人提供Amadey僵尸网络恶意软件。
Amadey在现场相对较新，但是多个组织已经使用它来删除受感染计算机上的二级恶意软件。之前看到它是由RIG漏洞利用工具包发布的。转向Amadey提供服务的演员之一是TA505，这是一个攻击金融机构和零售公司的集团。
退税是一种强有力的诱惑
Cofense的安全研究人员注意到此网络钓鱼活动绕过了安全电子邮件网关(SEG)解决方案并丢弃了带有恶意附件的电子邮件。
感染链以假装来自美国国税局(IRS)的消息开始，通知收件人他们有资格获得退税。
诀窍非常聪明，因为攻击者不会要求提供凭据，而是提供临时用户名和密码来登录到链接到邮件正文的虚假IRS门户。
该欺诈网站位于’hxxp：// yosemitemanagement [。] com / fonts / page5 /’，并通知任何人登陆并登录他们有一个待处理的退款。
受害者被欺骗，他们可以在填写欺诈网站提供的文件中的一些细节后获得退款。该文件是ZIP存档，其中包含Visual Basic脚本删除程序。
来自Cofense的分析表明该脚本经过高度混淆和加密。代码需要经过多个清理阶段才能理解并理解它的作用。这里有一个美化版本的脚本。
启动时，脚本会执行自解密例程并删除可执行文件“ZjOexiPr.exe”，该文件会安装另一个二进制文件(“kntd.exe”)并通过将自身置于Windows注册表中来实现持久性。
“Amadey立即向其命令和控制(C2)通道发出信号，将系统诊断信息发送回C2服务器并等待进一步的指示.Amadey通过端口80上的HTTP连接到多个C2服务器。” – Cofense
提供给其运营商的详细信息包括系统的唯一标识符(ID)，安装的Amadey版本(VS)，操作系统(OS)，可用的防病毒软件(AV)，系统名称(PC)和用户名(UN)。
Cofense提供了一系列妥协指标(IoC)，其中包括假电子邮件推送的恶意文件的散列以及分析中观察到的网络连接。