Microsoft advierte sobre varias campañas de phishing que están aprovechando temas relacionados con los impuestos para implementar malware y robar credenciales.
“Estas campañas utilizan notablemente métodos de redirección, como acortadores de URL y códigos QR contenidos en archivos adjuntos maliciosos y abusos de servicios legítimos como servicios de alojamiento de archivos y páginas de perfil comercial para evitar la detección”, dijo Microsoft en un referencia compartido con Hacker News.
Un aspecto trascendental de estas campañas es que conducen a páginas de phishing que se entregan a través de una plataforma de phishing como servicio (PHAAS) con nombre en código RACCOONO365, una plataforma de delitos electrónicos que salió a la luz por primera vez a principios de diciembre de 2024.
Incluso se entregan troyanos de acercamiento remoto (ratas) como REMCOS RAT, así como otros marcos de malware y posteriores a la explotación como Latrodectus, Ahkbot, Guloader y Bruteratel C4 (BRC4).
Se estima que una de esas campañas vistas por el coloso tecnológico el 6 de febrero de 2025 envió cientos de correos electrónicos dirigidos a los Estados Unidos antaño de la temporada de presentación de impuestos que intentó entregar BRC4 y Latrodectus. La actividad se ha atribuido a Storm-0249, un corredor de acercamiento auténtico anteriormente conocido por distribuir Bazaloader, IceDid, Bumblebee y Emotet.
Los ataques implican el uso de archivos adjuntos PDF que contienen un enlace que redirige a los usuarios a una URL acortada a través de la marca de control, lo que finalmente los lleva a una página de docusign aparente con una opción para ver o descargar el documento.
“Cuando los usuarios hicieron clic en el pulsador de descarga en la página de destino, el resultado dependía de si su sistema y dirección IP podían ingresar a la sucesivo etapa basada en las reglas de filtrado configuradas por el actor de amenaza”, dijo Microsoft.
Si se permite el acercamiento, al adjudicatario se le envía un archivo JavaScript que seguidamente descarga un instalador de software de Microsoft (MSI) para BRC4, que sirve como un conducto para implementar Latrodectus. Si la víctima no se considera un objetivo lo suficientemente valioso, se les envía un documento PDF complaciente de RoyaleGroupnyc (.) Com.
Microsoft dijo que igualmente detectó una segunda campaña entre el 12 y el 28 de febrero de 2025, donde se enviaron correos electrónicos de phishing con temas fiscales a más de 2,300 organizaciones en los Estados Unidos, particularmente dirigidos a sectores de ingeniería, TI y consultoría.
Los correos electrónicos, en este caso, no tenían contenido en el cuerpo de mensajes, pero presentaban un archivo adjunto PDF que contenía un código QR que apuntaba a un enlace asociado con los PHAA RACCOONO365 que imita las páginas de inicio de sesión de Microsoft 365 para engañar a los usuarios para que ingresen a sus credenciales.
En una señal de que estas campañas vienen en varias formas, los correos electrónicos de phishing con temas fiscales igualmente se han afectado como propagación de otras familias de malware como Ahkbot y Guloader.
Se ha antitético que las cadenas de infección de Ahkbot dirigen a los usuarios a sitios que alojan un archivo malvado de Microsoft Excel que, al desplegar y habilitar macros, descarga y ejecuta un archivo MSI para iniciar un script de autohotkey, que luego descarga un módulo de captura de pantalla de captura de pantalla de captura de capturas de capturas del host y exfiltrate a un servidor remoto.
La campaña de Guloader tiene como objetivo engañar a los usuarios para que haga clic en una URL presente adentro de un archivo adjunto de correo electrónico PDF, lo que resulta en la descarga de un archivo zip.
“El archivo zip contenía varios archivos .lnk configurados para imitar documentos fiscales. Si el adjudicatario lanzó, el archivo .lnk usa PowerShell para descargar un archivo PDF y un archivo .bat”, dijo Microsoft. “El archivo .bat a su vez descargó el ejecutable de Guloader, que luego instaló REMCOS”.
El incremento se produce semanas a posteriori de que Microsoft advirtió sobre otra campaña Storm-0249 que redirigió a los usuarios a sitios web falsos que anuncian Windows 11 Pro para ofrecer una interpretación actualizada del malware del cargador Latrodectus a través de la útil Bruteratel Red-Taming.
“El actor de amenazas probablemente usó Facebook para soportar el tráfico a las páginas falsas de descarga de Windows 11 Pro, como observamos las URL de referentes de Facebook en múltiples casos”, dijo Microsoft en una serie de publicaciones en X.
“Latrodectus 1.9, la última desarrollo del malware observada por primera vez en febrero de 2025, reintrodujo la tarea programada de persistencia y se agregó el comando 23, lo que permite la ejecución de los comandos de Windows a través de ‘cmd.exe /c.'”.
La divulgación igualmente sigue un aumento en las campañas que utilizan códigos QR en documentos de phishing para disfrazar las URL maliciosas como parte de ataques generalizados dirigidos a Europa y los Estados Unidos, lo que resulta en un robo de credenciales.
“El prospección de las URL extraídas de los códigos QR en estas campañas revela que los atacantes generalmente evitan incluir URL que apunten directamente al dominio de phishing”, dijo la Mecanismo 42 de Palo Stop Networks en un referencia. “En cambio, a menudo usan mecanismos de redirección de URL o explotan las redirecciones abiertas en sitios web legítimos”.
Estos hallazgos igualmente vienen a raíz de varias campañas de phishing e ingeniería social que se han afectado en las últimas semanas.
- Uso de la técnica del navegador en el navegador (BITB) para servir a las ventanas emergentes de navegador aparentemente realistas que engañan a los jugadores de Counter-Strike 2 para que ingresen sus credenciales de vapor con el objetivo probable de revender el acercamiento a estas cuentas con fines de beneficio
- Uso del malware del robador de información para secuestrar cuentas de mailchimp, permitiendo a los actores de amenaza expedir mensajes de correo electrónico a copioso
- Uso de archivos SVG para evitar filtros de spam y redirigir a los usuarios a las páginas de inicio de sesión de Microsoft
- Uso de servicios de colaboración de confianza como Adobe, Docusign, Dropbox, Canva y Zoho para Sidestep Secure Gateways (SEGS) y robo de credenciales
- Uso de correos electrónicos que suplan servicios de transmisión de música como Spotify y Apple Music con el objetivo de cosechar credenciales e información de plazo
- Uso de advertencias de seguridad falsas relacionadas con actividades sospechosas en los dispositivos de Windows y Apple Mac en sitios web falsos para engañar a los usuarios para que proporcionen credenciales de su sistema
- Uso de sitios web falsos que distribuyen instaladores de Windows troyanizados para Deepseek, I4Tools y la estampación de escritorio del Diccionario de Yodao que suelta la rata GH0ST
- Uso de correos electrónicos de phishing con temática de facturación dirigida a compañías españolas para distribuir un robador de información llamado Darkcloud
- Uso de correos electrónicos de phishing que se hace acaecer por un porción rumano para implementar un robador de información llamado MassLogger dirigido a organizaciones ubicadas en Rumania
Para mitigar los riesgos planteados por estos ataques, es esencial que las organizaciones adopten métodos de autenticación resistentes a phishing para los usuarios, usen navegadores que puedan asediar sitios web maliciosos y permitir que la protección de la red evite que las aplicaciones o usuarios accedan a dominios maliciosos.
