מתקפת דיוג חדשה של Emotet מכוונת למשלמי מסים בארה"ב על ידי התחזות לטפסי מס W-9 שנשלחים לכאורה על ידי ה- IRS – רשות המסים האמריקאית. Emotet הינה נוזקה המופצת באמצעות הודעות דוא"ל דיוג שהכילו בעבר מסמכי Microsoft Word ו- Excel עם פקודות מאקרו זדוניות המתקינות את הנוזקה. לאחר שמיקרוסופט החלה לחסום פקודות מאקרו כברירת מחדל במסמכי Office שהורדו, עברה Emotet להשתמש בקבצי Microsoft OneNote המכילים סקריפטים שנועדו להתקין את נוזקת Emotet. לאחר התקנת Emotet, תגנוב הנוזקה מיילים של קורבנות לשם שימוש במתקפות סייבר עתידיות, תשלח הודעות ספאם ובסופו של דבר תתקין נוזקות אחרות המספקות גישה ראשונית לפושעי סייבר אחרים, כגון כנופיות כופרה.
פעולות נוזקת Emotet משתמשות בדרך כלל במתקפות דיוג על מנת לחפוף עם חגים ופעילויות עסקיות שנתיות, כמו עונת המס הנוכחית בארה"ב. במתקפות הדיוג שנצפו על ידי חוקרי אבטחת סייבר של אתר Malwarebytes וחברת Palo Alto Networks Unit42, מכוונת נוזקת Emotet אל משתמשים באמצעות מיילים המכילים קבצים מצורפים מזויפים של טופס מס W-9: פושעי הסייבר שולחים אימיילים שכותרתם 'טפסי מס W-9 של ה- IRS', תוך שהם מתחזים ל'מפקח' מטעם רשות המסים האמריקאית. הודעות דיוג אלו מכילות קובץ ZIP בשם 'W-9 form.zip' המכיל מסמך Word זדוני. מסמך Word זה נופח ליותר מ- 500MB כדי להקשות על תוכנות האבטחה לזהות אותו כנוזקה. המסמכים המצורפים של OneNote יתיימרו להיראות מוגנים ויבקשו מהמשתמש ללחוץ פעמיים על כפתור 'הצג' כדי לראות את המסמך בצורה נכונה. עם זאת, מתחת ללחצן התצוגה מסתתר מסמך VBScript שיופעל במקום זאת. בעת הפעלת קובץ VBScript המוסתר, תזהיר Microsoft OneNote את המשתמש שהקובץ עלול להיות זדוני. לרוע המזל, ההיסטוריה מלמדת כי משתמשים רבים מתעלמים מאזהרות אלו ופשוט מאפשרים לקבצים לפעול. לאחר הביצוע, יוריד ה- VBScript את ה- DLL של Emotet ויריץ אותו באמצעות regsvr32.exe. הנוזקה תפעל בשקט ברקע, תגנוב דוא"ל, אנשי קשר ותמתין למטענים נוספים שיותקנו במחשב.
ההמלצה הגורפת לתושבי ארה"ב היא שבמידה ומקבלים אימיילים כלשהם שטוענים שהם W-9 או טפסי מס אחרים, תחילה יש לסרוק את המסמכים עם תוכנת האנטי-וירוס המקומית. עם זאת, בשל האופי הרגיש של טפסים אלו, לא מומלץ להעלות אותם לשירותי סריקה מבוססי ענן כמו VirusTotal. בדרך כלל מופצים טופסי מס כמסמכי PDF ולא כקבצים מצורפים של Word, כך שאם מקבלים קובץ כזה, יש להימנע מפתיחתו ומהפעלת פקודות מאקרו. לבסוף, ספק אם טפסי מס יישלחו אי פעם כמסמכי OneNote, כך שיש למחוק מיד את המייל ולא לפתוח אותו. כמו תמיד, קו ההגנה הטוב ביותר הוא למחוק כל אימייל מאנשים בלתי מוכרים ואם כן מכירים אותם, מומלץ לפנות אליהם תחילה בטלפון כדי לאשר שהם שלחו אותו.
