eFilecom遭遇JavaScript恶意软件攻击

关键要点

就在4月18日的报税截止日仅几周前，消息曝光了被IRS授权的电子报税服务eFilecom被发现执行JavaScript恶意软件的情况。

根据多位安全研究人员和用户的汇报，4月4日发现存在名为popperjs的恶意JavaScript恶意软件，该病毒在eFilecom网站上存在了数周。

需要注意的是，eFilecom是一个私人网站，与IRS免费报税服务不同，后者允许调整后总收入低于73000美元的纳税人通过IRSgov网站免费报税。

根据Similarweb在1月的报告，eFilecom的总访问量为110万次，跳出率为388，而在电子报税领域的领先者hrblockcom总访问量达2610万次，跳出率为287。多数税务专家表示，eFilecom最适合那些对自己报税感到自信且报表不复杂的纳税人。

BleepingComputer证实，恶意的popperjs脚本几乎在eFilecom的每个页面上都被加载，至少到4月1日为止。他们还报告称，在3月17日下午，一条Reddit讨论中，多个eFilecom用户怀疑该网站被劫持了。

SANS Institute的Johannes Ulrich发布了有关eFilecom问题的报告，确认恶意行为者使用了popperjs恶意软件。

Deep Instinct的竞争情报分析师Jerrod Piker表示，此次攻击涉及几乎每个eFilecom网页都提供的恶意JavaScript。Piker指出，在三月中旬时，用户开始注意到一个虚假的SSL错误消息，提示他们更新浏览器以加载该页面。

进一步分析表明，这个SSL错误页面确实是恶意的，而“更新浏览器”的链接实际上指向了一个指挥和控制地址，恶意载荷被下载到用户的系统中。

“尽管目前尚不清楚有多少人确实被这个恶意脚本感染，但被黑客攻击的网页在采取任何行动之前已经提供了数周的恶意脚本，这令人非常担忧，”Piker说。“此外，由于此次攻击的时间正值报税季节，潜在影响成倍增加。”

Piker指出，eFilecom的问题是一个不应信任即使是合法网站的例子，并补充说虚假的SSL错误消息是这次攻击的明显标志。

Keeper Security的产品负责人Zane Bond表示，在一年中最繁忙的季节，报税服务及其客户是网络犯罪分子的主要目标。Bond补充说，具体的eFile问题在几周前被提及却没有得到解决，这令人担忧。

“然而，与其分析妥协的具体情况，客户更想知道他们可以采取什么措施保护自己，这归结到基本常识上，”Bond说。“不要点击风险链接。任何要求客户下载并运行可执行文件的网站都应引起警惕。即使是虚假的SSL错误也应引发关注。”

Netenrich的首席威胁猎手John Bambenek指出，任何用于报税的事