Emotet 恶意软件僵尸网络利用 2022 年美国税收季节发送恶意电子邮件，伪装成美国国税局发送纳税表格或联邦申报表。

Emotet 是一种恶意软件感染，通过带有包含恶意宏的附加 Word 或 Excel 文档的网络钓鱼电子邮件传播。一旦打开这些文档，它们就会诱使用户启用宏，从而将 Emotet 恶意软件下载到计算机上。

安装 Emotet 后，该恶意软件将窃取受害者的电子邮件，以用于未来 的回复链攻击，发送更多垃圾邮件，并最终安装其他恶意软件，可能 导致 Conti 勒索软件攻击 受感染的网络

Emotet 冒充 IRS.gov

在电子邮件安全公司 Cofense的一份新报告中，研究人员发现多个网络钓鱼活动冒充互联网税务局 (IRS.gov)，使用与 2022 年美国税收季节相关的诱饵。

这些电子邮件伪装成 IRS 向收件人发送 2021 年纳税申报表、W-9 表格和纳税季节通常需要的其他税务文件。

虽然以国税局为主题的电子邮件的主题和文本各不相同，但总体而言，国税局正在与您的企业联系，提供已完成的税表或您需要填写并返回给他们的税表。

其中一封电子邮件中的文本示例如下：

Attached please find your W-9 for [company_name] LLC. Password is 24509.

Please complete the attached, fillable form and return to me at your earliest. If you have ANY questions, please give me a shout!

Let me know if you would like a hard copy email as well.

根据今天发布的 Cofense 报告，网络钓鱼活动正在使用与美国税收季节相关的大量电子邮件主题，包括：

IRS Tax Forms W-9
Incorrect Form Selection
INCOME TAX RETURN 2021

附加到电子邮件的是 zip 文件或指向 zip 文件的 HTML 文件，这些文件受密码保护，因此更难被安全电子邮件网关检测到。

进行的测试中，这些 zip 文件无法被 Windows 的内置存档提取器正确解析，可能会导致活动的影响较小。

但是，第三方存档程序，如 7-Zip，提取文件没有问题，如下所示。

                                                                受密码保护的 zip 附件
zip 文件内部是一个“W-9 form.xslm”Excel 文件，打开时会提示用户单击“启用编辑”和“启用内容”按钮以正确查看文档。

一旦用户点击这些按钮，就会执行恶意宏，从被黑的 WordPress 站点下载并安装 Emotet 恶意软件。

安装 Emotet 后，该恶意软件将下载额外的有效载荷， 在最近的活动中通常是 Cobalt Strike。

然而，Emotet 研究小组 Cryptolaemus 也看到 Emotet 丢弃了SystemBC 远程访问木马。

Emotet 现在由 Conti Ransomware 团伙开发，所有组织，无论大小，都应该注意这些网络钓鱼活动，因为它们最终会导致勒索软件攻击和数据泄露。

与往常一样，重要的是要记住， 美国国税局从不发送未经请求的电子邮件 ，并且只通过邮政服务进行通信。因此，如果您收到声称来自 IRS 的电子邮件，请将其标记为垃圾邮件，然后删除该电子邮件。