Software de declaração de imposto autorizado pelo IRS, foi flagrado servindo malware
4 de Abril de 2023

A eFile, um provedor de serviços de software de e-file autorizado pelo IRS usado por muitos para a declaração de impostos, foi pega servindo malware JavaScript.

Pesquisadores de segurança afirmam que o arquivo JavaScript malicioso existia no site da eFile há semanas.

O BleepingComputer conseguiu confirmar a existência do arquivo JavaScript malicioso em questão na época.

Observe que este incidente de segurança se refere especificamente à eFile e não a domínios com sons idênticos ou à infraestrutura de e-file do IRS.

A eFile foi pega servindo malware, conforme observado por vários usuários e pesquisadores.

O arquivo JavaScript malicioso em questão é chamado de 'popper.js'.

O desenvolvimento ocorre em um momento crucial em que os contribuintes dos EUA estão finalizando suas declarações de impostos do IRS antes da data de vencimento de 18 de abril.

O código destacado acima é codificado em base64, com sua versão decodificada mostrada abaixo.

O código tenta carregar JavaScript retornado por infoamanewonliag.

O uso de Math.random() no final provavelmente visa evitar o armazenamento em cache e carregar uma cópia fresca do malware - se o agente da ameaça fizer quaisquer alterações nele, toda vez que a eFile for visitada.

No momento da escrita deste texto, o endpoint não estava mais ativo.

O BleepingComputer pode confirmar que o arquivo JavaScript malicioso 'popper.js' estava sendo carregado por quase todas as páginas da eFile, pelo menos até 1º de abril.

A partir de hoje, o arquivo não é mais visto servindo o código malicioso.

Em 17 de março, um tópico do Reddit surgiu onde vários usuários da eFile suspeitaram que o site foi "sequestrado".

Na época, o site exibia uma mensagem de erro SSL que, segundo alguns, era falsa e indicativa de um hack.

Acontece que esse é realmente o caso.

Pesquisadores detectaram um arquivo adicional 'update.js' associado a este ataque, que estava sendo servido por um endpoint da Amazon AWS.

O BleepingComputer obteve o chamado 'update.js' e notamos a mensagem de erro SSL falsa presente como código HTML codificado em base64 (destacado abaixo) dentro dele.

Um trecho HTML da string decodificada que gera o erro SSL falso é mostrado abaixo.

O arquivo JavaScript malicioso 'update.js' tenta ainda mais incentivar os usuários a baixar payload da próxima etapa, dependendo se estão usando o Chrome ou o Firefox.

Os produtos antivírus já começaram a marcar esses executáveis como cavalos de Troia.

O BleepingComputer confirmou independentemente que esses binários estabelecem uma conexão com um endereço IP baseado em Tóquio que parece ser hospedado com a Alibaba.

O mesmo IP também hospeda o domínio ilícito infoamanewonliag associado a este incidente.

O grupo de pesquisa de segurança MalwareHunterTeam analisou ainda mais esses binários e afirmou que eles contêm botnets do Windows escritos em PHP - um fato que o grupo de pesquisa zombou.

Além disso, o grupo chamou a atenção da efile por deixar o código malicioso em seu site por semanas: "Então, o site da efile...foi comprometido pelo menos em meados de março e ainda não foi limpo", escreve o MalwareHunterTeam.

Referindo-se a um tópico do Reddit, o grupo disse ainda: "...até o domínio que serve os payloads foi mencionado há 15 dias. Como isso ainda não recebeu mais atenção?" O Dr. Johannes Ulrich do SANS Institute também divulgou uma análise do problema.

O escopo completo deste incidente, incluindo se o ataque infectou com sucesso visitantes e clientes da eFile, ainda está por ser aprendido.

O BleepingComputer abordou a eFile com perguntas bem antes da publicação.

Em janeiro de 2022, a gangue de ransomware LockBit afirmou ter atacado a eFile.

Na época, o BleepingComputer não recebeu uma resposta da empresa confirmando ou negando um ataque.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...