Microsoft advierte sobre varias campañas de phishing que están aprovechando temas relacionados con los impuestos para implementar malware y robar credenciales.
«Estas campañas utilizan notablemente métodos de redirección, como acortadores de URL y códigos QR contenidos en archivos adjuntos maliciosos y abusos de servicios legítimos como servicios de alojamiento de archivos y páginas de perfil comercial para evitar la detección», dijo Microsoft en un informe compartido con Hacker News.
Un aspecto notable de estas campañas es que conducen a páginas de phishing que se entregan a través de una plataforma de phishing como servicio (PHAAS) con nombre en código RACCOONO365, una plataforma de delitos electrónicos que salió a la luz por primera vez a principios de diciembre de 2024.
También se entregan troyanos de acceso remoto (ratas) como REMCOS RAT, así como otros marcos de malware y posteriores a la explotación como Latrodectus, Ahkbot, Guloader y Bruteratel C4 (BRC4).
Se estima que una de esas campañas vistas por el gigante tecnológico el 6 de febrero de 2025 envió cientos de correos electrónicos dirigidos a los Estados Unidos antes de la temporada de presentación de impuestos que intentó entregar BRC4 y Latrodectus. La actividad se ha atribuido a Storm-0249, un corredor de acceso inicial anteriormente conocido por distribuir Bazaloader, IceDid, Bumblebee y Emotet.
Los ataques implican el uso de archivos adjuntos PDF que contienen un enlace que redirige a los usuarios a una URL acortada a través de la marca de control, lo que finalmente los lleva a una página de docusign falso con una opción para ver o descargar el documento.
«Cuando los usuarios hicieron clic en el botón de descarga en la página de destino, el resultado dependía de si su sistema y dirección IP podían acceder a la siguiente etapa basada en las reglas de filtrado configuradas por el actor de amenaza», dijo Microsoft.
Si se permite el acceso, al usuario se le envía un archivo JavaScript que posteriormente descarga un instalador de software de Microsoft (MSI) para BRC4, que sirve como un conducto para implementar Latrodectus. Si la víctima no se considera un objetivo lo suficientemente valioso, se les envía un documento PDF benigno de RoyaleGroupnyc (.) Com.
Microsoft dijo que también detectó una segunda campaña entre el 12 y el 28 de febrero de 2025, donde se enviaron correos electrónicos de phishing con temas fiscales a más de 2,300 organizaciones en los Estados Unidos, particularmente dirigidos a sectores de ingeniería, TI y consultoría.
Los correos electrónicos, en este caso, no tenían contenido en el cuerpo de mensajes, pero presentaban un archivo adjunto PDF que contenía un código QR que apuntaba a un enlace asociado con los PHAA RACCOONO365 que imita las páginas de inicio de sesión de Microsoft 365 para engañar a los usuarios para que ingresen a sus credenciales.
En una señal de que estas campañas vienen en varias formas, los correos electrónicos de phishing con temas fiscales también se han marcado como propagación de otras familias de malware como Ahkbot y Guloader.
Se ha encontrado que las cadenas de infección de Ahkbot dirigen a los usuarios a sitios que alojan un archivo malicioso de Microsoft Excel que, al abrir y habilitar macros, descarga y ejecuta un archivo MSI para iniciar un script de autohotkey, que luego descarga un módulo de captura de pantalla de captura de pantalla de captura de capturas de capturas del host y exfiltrate a un servidor remoto.
La campaña de Guloader tiene como objetivo engañar a los usuarios para que haga clic en una URL presente dentro de un archivo adjunto de correo electrónico PDF, lo que resulta en la descarga de un archivo zip.
«El archivo zip contenía varios archivos .lnk configurados para imitar documentos fiscales. Si el usuario lanzó, el archivo .lnk usa PowerShell para descargar un archivo PDF y un archivo .bat», dijo Microsoft. «El archivo .bat a su vez descargó el ejecutable de Guloader, que luego instaló REMCOS».
El desarrollo se produce semanas después de que Microsoft advirtió sobre otra campaña Storm-0249 que redirigió a los usuarios a sitios web falsos que anuncian Windows 11 Pro para ofrecer una versión actualizada del malware del cargador Latrodectus a través de la herramienta Bruteratel Red-Taming.
«El actor de amenazas probablemente usó Facebook para llevar el tráfico a las páginas falsas de descarga de Windows 11 Pro, como observamos las URL de referentes de Facebook en múltiples casos», dijo Microsoft en una serie de publicaciones en X.
«Latrodectus 1.9, la última evolución del malware observada por primera vez en febrero de 2025, reintrodujo la tarea programada de persistencia y se agregó el comando 23, lo que permite la ejecución de los comandos de Windows a través de ‘cmd.exe /c.'».
La divulgación también sigue un aumento en las campañas que utilizan códigos QR en documentos de phishing para disfrazar las URL maliciosas como parte de ataques generalizados dirigidos a Europa y los Estados Unidos, lo que resulta en un robo de credenciales.
«El análisis de las URL extraídas de los códigos QR en estas campañas revela que los atacantes generalmente evitan incluir URL que apunten directamente al dominio de phishing», dijo la Unidad 42 de Palo Alto Networks en un informe. «En cambio, a menudo usan mecanismos de redirección de URL o explotan las redirecciones abiertas en sitios web legítimos».
Estos hallazgos también vienen a raíz de varias campañas de phishing e ingeniería social que se han marcado en las últimas semanas.
- Uso de la técnica del navegador en el navegador (BITB) para servir a las ventanas emergentes de navegador aparentemente realistas que engañan a los jugadores de Counter-Strike 2 para que ingresen sus credenciales de vapor con el objetivo probable de revender el acceso a estas cuentas con fines de lucro
- Uso del malware del robador de información para secuestrar cuentas de mailchimp, permitiendo a los actores de amenaza enviar mensajes de correo electrónico a granel
- Uso de archivos SVG para evitar filtros de spam y redirigir a los usuarios a las páginas de inicio de sesión de Microsoft
- Uso de servicios de colaboración de confianza como Adobe, Docusign, Dropbox, Canva y Zoho para Sidestep Secure Gateways (SEGS) y robo de credenciales
- Uso de correos electrónicos que suplan servicios de transmisión de música como Spotify y Apple Music con el objetivo de cosechar credenciales e información de pago
- Uso de advertencias de seguridad falsas relacionadas con actividades sospechosas en los dispositivos de Windows y Apple Mac en sitios web falsos para engañar a los usuarios para que proporcionen credenciales de su sistema
- Uso de sitios web falsos que distribuyen instaladores de Windows troyanizados para Deepseek, I4Tools y la edición de escritorio del Diccionario de Yodao que suelta la rata GH0ST
- Uso de correos electrónicos de phishing con temática de facturación dirigida a compañías españolas para distribuir un robador de información llamado Darkcloud
- Uso de correos electrónicos de phishing que se hace pasar por un banco rumano para implementar un robador de información llamado MassLogger dirigido a organizaciones ubicadas en Rumania
Para mitigar los riesgos planteados por estos ataques, es esencial que las organizaciones adopten métodos de autenticación resistentes a phishing para los usuarios, usen navegadores que puedan bloquear sitios web maliciosos y permitir que la protección de la red evite que las aplicaciones o usuarios accedan a dominios maliciosos.