eFile.com遭遇JavaScript恶意软件攻击

关键要点

就在4月18日的报税截止日仅几周前，消息曝光了被授权的电子报税服务eFile.com被发现执行JavaScript恶意软件的情况。

根据多位安全研究人员和用户的汇报，4月4日发现存在名为popper.js的恶意，该病毒在eFile.com网站上存在了数周。

需要注意的是，eFile.com是一个私人网站，与不同，后者允许调整后总收入低于73,000美元的纳税人通过IRS.gov网站免费报税。

根据Similarweb在1月的，eFile.com的总访问量为110万次，跳出率为38.8%，而在电子报税领域的领先者hrblock.com总访问量达2610万次，跳出率为28.7%。多数税务专家表示，eFile.com最适合那些对自己报税感到自信且报表不复杂的纳税人。

证实，恶意的popper.js脚本几乎在eFile.com的每个页面上都被加载，至少到4月1日为止。他们还报告称，在3月17日下午，一条Reddit中，多个eFile.com用户怀疑该网站被劫持了。

SANS Institute的JohannesUlrich发布了有关eFile.com问题的，确认恶意行为者使用了popper.js恶意软件。

Deep Instinct的竞争情报分析师JerrodPiker表示，此次攻击涉及几乎每个eFile.com网页都提供的恶意JavaScript。Piker指出，在三月中旬时，用户开始注意到一个虚假的SSL错误消息，提示他们更新浏览器以加载该页面。

进一步分析表明，这个SSL错误页面确实是恶意的，而“更新浏览器”的链接实际上指向了一个指挥和控制地址，恶意载荷被下载到用户的系统中。

“尽管目前尚不清楚有多少人确实被这个恶意脚本感染，但被黑客攻击的网页在采取任何行动之前已经提供了数周的恶意脚本，这令人非常担忧，”Piker说。“此外，由于此次攻击的时间正值报税季节，潜在影响成倍增加。”

Piker指出，eFile.com的问题是一个不应信任即使是合法网站的例子，并补充说虚假的SSL错误消息是这次攻击的明显标志。

Keeper Security的产品负责人ZaneBond表示，在一年中最繁忙的季节，报税服务及其客户是网络犯罪分子的主要目标。Bond补充说，具体的eFile问题在几周前被提及却没有得到解决，这令人担忧。

“然而，与其分析妥协的具体情况，客户更想知道他们可以采取什么措施保护自己，这归结到基本常识上，”Bond说。“不要点击风险链接。任何要求客户下载并运行可执行文件的网站都应引起警惕。即使是虚假的SSL错误也应引发关注。”

Netenrich的首席威胁猎手John Bambenek指出，任何用于报税的事