Microsoftはこのほど、「Threat actors strive to cause Tax Day headaches - Microsoft Security Blog」において、米国の会計事務所や確定申告支援企業を狙うフィッシングキャンペーンが展開されていることを伝えた。2023年2月頃より遠隔操作ウイルス(RAT: Remote Administration Tool)型マルウェアである「Remcos」がキャンペーンで配信され、被害者のネットワークが侵害されたことが明らかになった。

  • Threat actors strive to cause Tax Day headaches - Microsoft Security Blog

    Threat actors strive to cause Tax Day headaches - Microsoft Security Blog

Remcos(Remote Control and Surveillance)は、Windowsの管理者権限をリモートで獲得できるように開発されたクローズドソースのソフトウェア。攻撃的なセキュリティツールを正規ソフトウェアとして販売する欧州のベンダであるBreakingSecurityからリリースされている。

キャンペーンではクライアントから送られてくる税務書類を装ったルアーファイルが使われている。AWSのクリック追跡サービスを使用することでメール内に埋め込まれたリンクの検知を回避し、ペイロードであるLNKファイルがファイルホスティングサイトにアップロードされ、ターゲットを誘導することが確認されている。

  • Tax Day-themed Remcos attack chain

    Tax Day-themed Remcos attack chain

LNKファイルは悪意のあるファイルを含んだZIPファイルをダウンロードするよう設計されている。ZIPファイルにはMSIファイル、VBScriptファイル、不正なPDFファイルが含まれているとされ、これらのファイルからRemcosがダウンロードされる仕組みになっているという。Remcosに感染するとターゲットのデバイスおよびネットワークにアクセスされてしまうとのことだ。

米国のTax Dayに合わせたキャンペーンとみられており、確定申告を済ませていないユーザーや会計事務所に対し、警戒を強めるよう注意が発せられている。電子メールの添付ファイルやリンクに注意を払うとともに、Microsoftが推奨している緩和策を実施することが望まれる。