据BleepingComputer称,美国国税局授权的报税软件服务 eFile.com 最近在报税季中遭受了 JavaScript 恶意软件攻击。
邪恶的 JavaScript 文件已被识别为popper.js ,并且已被 eFile.com 用户和安全研究人员观察到。据信,该恶意软件在 3 月中旬左右出现在该服务上,并与“eFile.com 的几乎每个页面进行交互,至少在 4 月 1 日之前是这样,”该出版物补充道。
在 eFile.com 上遇到此受感染的 JavaScript 可能会导致看到一个断开的链接,该链接由 infoamanewonliag[.]online 返回。该服务的用户从 3 月 17 日开始讨论Reddit受到攻击的可能性,并指出他们收到的 SSL 错误消息似乎是假的。
研究人员确认这些错误表明存在恶意软件攻击,并将它们与 JavaScript 恶意软件文件update.js 联系起来。该文件在恶意软件中充当提示,促使用户下载该文件,并且最终可能因所使用的浏览器而异,例如 Chrome 的 [update.exe – VirusTotal] 或 Firefox 的 [installer.exe – VirusTotal]。
BleepingComputer 对恶意软件进行了自己的研究后了解到,策划恶意软件的不良行为者是从东京的 IP 地址 47.245.6.91 进行的,该地址可能由阿里巴巴托管。该出版物还将 IP 地址连接到 infoamanewonliag[.]online 域,该域也与攻击有关。
BleepingComputer 能够研究安全研究小组 MalwareHunterTeam 发现的用 PHP 编写的恶意软件脚本样本。该出版物确定该脚本是一种“后门恶意软件”,可让黑客远程控制受感染的设备。一旦被感染,PHP 脚本就会在后台运行,允许恶意软件每十秒从控制服务器连接到设备,以执行坏人想要的任何邪恶行为。
该出版物指出,尽管该恶意软件是一个“基本后门”,但不良行为者仍有很大可能将其用于非常恶劣的目的,包括窃取凭证或窃取数据以进行勒索。
MalwareHunterTeam 批评 eFile.com 数周未解决攻击问题。它已经解决了;然而,其影响的程度仍然未知。