A eFile, um provedor de serviços de software de e-file autorizado pelo IRS usado por muitos para a declaração de impostos, foi pega servindo malware JavaScript.
Pesquisadores de segurança afirmam que o arquivo JavaScript malicioso existia no site da eFile há semanas.
O BleepingComputer conseguiu confirmar a existência do arquivo JavaScript malicioso em questão na época.
Observe que este incidente de segurança se refere especificamente à eFile e não a domínios com sons idênticos ou à infraestrutura de e-file do IRS.
A eFile foi pega servindo malware, conforme observado por vários usuários e pesquisadores.
O arquivo JavaScript malicioso em questão é chamado de 'popper.js'.
O desenvolvimento ocorre em um momento crucial em que os contribuintes dos EUA estão finalizando suas declarações de impostos do IRS antes da data de vencimento de 18 de abril.
O código destacado acima é codificado em base64, com sua versão decodificada mostrada abaixo.
O código tenta carregar JavaScript retornado por infoamanewonliag.
O uso de Math.random() no final provavelmente visa evitar o armazenamento em cache e carregar uma cópia fresca do malware - se o agente da ameaça fizer quaisquer alterações nele, toda vez que a eFile for visitada.
No momento da escrita deste texto, o endpoint não estava mais ativo.
O BleepingComputer pode confirmar que o arquivo JavaScript malicioso 'popper.js' estava sendo carregado por quase todas as páginas da eFile, pelo menos até 1º de abril.
A partir de hoje, o arquivo não é mais visto servindo o código malicioso.
Em 17 de março, um tópico do Reddit surgiu onde vários usuários da eFile suspeitaram que o site foi "sequestrado".
Na época, o site exibia uma mensagem de erro SSL que, segundo alguns, era falsa e indicativa de um hack.
Acontece que esse é realmente o caso.
Pesquisadores detectaram um arquivo adicional 'update.js' associado a este ataque, que estava sendo servido por um endpoint da Amazon AWS.
O BleepingComputer obteve o chamado 'update.js' e notamos a mensagem de erro SSL falsa presente como código HTML codificado em base64 (destacado abaixo) dentro dele.
Um trecho HTML da string decodificada que gera o erro SSL falso é mostrado abaixo.
O arquivo JavaScript malicioso 'update.js' tenta ainda mais incentivar os usuários a baixar payload da próxima etapa, dependendo se estão usando o Chrome ou o Firefox.
Os produtos antivírus já começaram a marcar esses executáveis como cavalos de Troia.
O BleepingComputer confirmou independentemente que esses binários estabelecem uma conexão com um endereço IP baseado em Tóquio que parece ser hospedado com a Alibaba.
O mesmo IP também hospeda o domínio ilícito infoamanewonliag associado a este incidente.
O grupo de pesquisa de segurança MalwareHunterTeam analisou ainda mais esses binários e afirmou que eles contêm botnets do Windows escritos em PHP - um fato que o grupo de pesquisa zombou.
Além disso, o grupo chamou a atenção da efile por deixar o código malicioso em seu site por semanas: "Então, o site da efile...foi comprometido pelo menos em meados de março e ainda não foi limpo", escreve o MalwareHunterTeam.
Referindo-se a um tópico do Reddit, o grupo disse ainda: "...até o domínio que serve os payloads foi mencionado há 15 dias. Como isso ainda não recebeu mais atenção?" O Dr. Johannes Ulrich do SANS Institute também divulgou uma análise do problema.
O escopo completo deste incidente, incluindo se o ataque infectou com sucesso visitantes e clientes da eFile, ainda está por ser aprendido.
O BleepingComputer abordou a eFile com perguntas bem antes da publicação.
Em janeiro de 2022, a gangue de ransomware LockBit afirmou ter atacado a eFile.
Na época, o BleepingComputer não recebeu uma resposta da empresa confirmando ou negando um ataque.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...