Un sitio de preparación de impuestos autorizado por el IRS, eFile.com, estuvo entregando malware en secreto a los visitantes durante semanas, según los investigadores de seguridad y los usuarios.
La evidencia muestra que eFile.com estaba usando una ventana emergente falsa «No se puede acceder a este sitio» para llevar un enlace a malware disfrazado como un programa llamado «update.exe», según(Se abre en una nueva ventana) a Johannes Ullrich, investigador de seguridad en el SANS Technology Institute.
Esto significa que los piratas informáticos probablemente lograron manipular el sitio web eFile.com durante la temporada de impuestos. Desde al menos el 17 de marzo, el sitio ha sido manipulado para cargar un archivo javascript malicioso, «popper.js», que puede generar la página emergente de error de red falsa.
La página emergente de error de red falsa que aparece en eFile.com. (Crédito: Reddit)
“La página se parece mucho a un error de navegador legítimo que indica: ‘La versión actual de su navegador utiliza un protocolo no compatible. Haga clic en el siguiente enlace para actualizar su navegador’”, señaló Ullrich. Pero aunque el programa update.exe está diseñado para parecer inocuo, los análisis antivirus(Se abre en una nueva ventana) indicar que el programa es en realidad un troyano basado en Windows.
Los investigadores de seguridad de MalwareHunterTeam también analizaron update.exe y descrito(Se abre en una nueva ventana) como un «malware dirigido a Windows», posiblemente creado para impulsar una botnet o un ejército de computadoras infectadas.
Además, MalwareHunterTeam rastreó la amenaza hasta una publicación de Reddit.(Se abre en una nueva ventana) del 17 de marzo, que muestra a un usuario informando sobre la página de error de red falsa que aparece en eFile.com. “Todo esto sugiere que el sitio está comprometido y se está utilizando para distribuir malware”, escribió el usuario de Reddit en ese momento.
En el mismo hilo, otro usuario intervino y señaló(Se abre en una nueva ventana): «Solo muestra la advertencia de seguridad cuando detecta que se está viendo en una máquina con Windows».
Recomendado por Nuestros Editores
EFile.com no respondió de inmediato a una solicitud de comentarios, por lo que no tenemos muchos detalles sobre lo que sucedió. pero de acuerdo(Se abre en una nueva ventana) para Ullrich, eFile.com se ha actualizado para eliminar el Javascript popper.js del sitio.
Aún así, el ataque genera preocupaciones de que eFile.com pueda haber sufrido una violación mayor que involucre datos de usuarios. Los proveedores de preparación de impuestos tienen una gran cantidad de información confidencial sobre sus clientes, que puede incluir números de Seguro Social, fechas de nacimiento y direcciones, todos los datos que podrían usarse para esquemas de robo de identidad.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.