Microsoft advierte sobre varias campañas de phishing que aprovechan temas relacionados con los impuestos para implementar malware y robar credenciales.

«Estas campañas utilizan principalmente métodos de redirección como acortadores de URL y códigos QR contenidos en archivos adjuntos maliciosos y abusan de servicios legítimos como servicios de alojamiento de archivos y páginas de perfiles comerciales para evitar la detección», afirmó Microsoft en un informe compartido con The Hacker News.

Un aspecto notable de estas campañas es que conducen a páginas de phishing que se distribuyen a través de una plataforma de phishing como servicio (PhaaS) con nombre en código RaccoonO365 , una plataforma de delitos electrónicos que salió a la luz por primera vez a principios de diciembre de 2024.

También se distribuyen troyanos de acceso remoto (RAT) como Remcos RAT, así como otros malware y marcos de post-explotación como Latrodectus , AHKBot, GuLoader y BruteRatel C4 (BRc4).

Se estima que una de estas campañas, detectada por el gigante tecnológico el 6 de febrero de 2025, envió cientos de correos electrónicos dirigidos a Estados Unidos antes de la temporada de declaración de impuestos, con el objetivo de distribuir BRc4 y Latrodectus. La actividad se ha atribuido a Storm-0249 , un agente de acceso inicial conocido anteriormente por distribuir BazaLoader, IcedID, Bumblebee y Emotet.

Los ataques implican el uso de archivos PDF adjuntos que contienen un enlace que redirige a los usuarios a una URL acortada mediante Rebrandly, lo que finalmente los lleva a una página falsa de Docusign con una opción para ver o descargar el documento.

«Cuando los usuarios hacían clic en el botón de descarga en la página de inicio, el resultado dependía de si su sistema y dirección IP tenían permiso para acceder a la siguiente etapa según las reglas de filtrado establecidas por el actor de la amenaza», dijo Microsoft.

Si se permite el acceso, se envía al usuario un archivo JavaScript que posteriormente descarga un instalador de software de Microsoft (MSI) para BRc4, que sirve como canal para la implementación de Latrodectus. Si la víctima no se considera un objetivo lo suficientemente valioso, se le envía un documento PDF inofensivo desde royalegroupnyc[.]com.

Microsoft dijo que también detectó una segunda campaña entre el 12 y el 28 de febrero de 2025, donde se enviaron correos electrónicos de phishing con temática fiscal a más de 2.300 organizaciones en Estados Unidos, especialmente dirigidos a sectores de ingeniería, TI y consultoría.

Los correos electrónicos, en este caso, no tenían contenido en el cuerpo del mensaje, pero presentaban un archivo PDF adjunto que contenía un código QR que apuntaba a un enlace asociado con RaccoonO365 PhaaS que imita las páginas de inicio de sesión de Microsoft 365 para engañar a los usuarios para que ingresen sus credenciales.

Como muestra de que estas campañas se presentan en diversas formas, los correos electrónicos de phishing con temática fiscal también han sido marcados como propagadores de otras familias de malware como AHKBot y GuLoader.

Se ha descubierto que las cadenas de infección de AHKBot dirigen a los usuarios a sitios que alojan un archivo malicioso de Microsoft Excel que, al abrir y habilitar macros, descarga y ejecuta un archivo MSI para iniciar un script AutoHotKey, que luego descarga un módulo Screenshotter para capturar capturas de pantalla del host comprometido y exfiltrarlas a un servidor remoto.

La campaña GuLoader tiene como objetivo engañar a los usuarios para que hagan clic en una URL presente dentro de un archivo PDF adjunto en un correo electrónico, lo que da como resultado la descarga de un archivo ZIP.

El archivo ZIP contenía varios archivos .lnk configurados para simular documentos fiscales. Si el usuario lo inicia, el archivo .lnk usa PowerShell para descargar un PDF y un archivo .bat —declaró Microsoft—. El archivo .bat, a su vez, descargaba el ejecutable de GuLoader, que posteriormente instalaba Remcos.

El desarrollo se produce semanas después de que Microsoft advirtiera sobre otra campaña Storm-0249 que redirigía a los usuarios a sitios web falsos que anunciaban Windows 11 Pro para entregar una versión actualizada del malware Latrodectus Loader a través de la herramienta de equipo rojo BruteRatel.

«Es probable que el actor de amenazas haya usado Facebook para dirigir tráfico a las páginas de descarga falsas de Windows 11 Pro, ya que observamos URL de referencia de Facebook en varios casos», afirmó Microsoft en una serie de publicaciones en X.

Latrodectus 1.9, la última evolución del malware observada por primera vez en febrero de 2025, reintrodujo la tarea programada para persistencia y agregó el comando 23, que permite la ejecución de comandos de Windows mediante ‘cmd.exe /c’.

La revelación también sigue a un aumento en las campañas que utilizan códigos QR en documentos de phishing para disfrazar URL maliciosas como parte de ataques generalizados dirigidos a Europa y los EE. UU., lo que resulta en el robo de credenciales.

«El análisis de las URL extraídas de los códigos QR en estas campañas revela que los atacantes suelen evitar incluir URL que dirijan directamente al dominio de phishing», declaró Palo Alto Networks Unit 42 en un informe. «En su lugar, suelen utilizar mecanismos de redirección de URL o explotar redirecciones abiertas en sitios web legítimos».

Estos hallazgos también llegan a raíz de varias campañas de phishing e ingeniería social que se han detectado en las últimas semanas.

  • Uso de la técnica de navegador en navegador ( BitB ) para mostrar ventanas emergentes de navegador aparentemente realistas que engañan a los jugadores de Counter-Strike 2 para que ingresen sus credenciales de Steam con el probable objetivo de revender el acceso a estas cuentas para obtener ganancias.
  • Uso de malware ladrón de información para secuestrar cuentas de MailChimp , lo que permite a los actores de amenazas enviar mensajes de correo electrónico de forma masiva
  • Uso de archivos SVG para eludir los filtros de spam y redirigir a los usuarios a páginas de inicio de sesión falsas de Microsoft
  • Uso de servicios de colaboración confiables como Adobe, DocuSign, Dropbox, Canva y Zoho para eludir las puertas de enlace de correo electrónico seguras (SEG) y robar credenciales
  • Uso de correos electrónicos que suplantan servicios de transmisión de música como Spotify y Apple Music con el objetivo de recopilar credenciales e información de pago
  • Uso de advertencias de seguridad falsas relacionadas con actividad sospechosa en dispositivos Windows y Apple Mac en sitios web falsos para engañar a los usuarios y que proporcionen sus credenciales del sistema
  • Uso de sitios web falsos que distribuyen instaladores de Windows troyanizados para DeepSeek, i4Tools y Youdao Dictionary Desktop Edition que instalan Gh0st RAT
  • Uso de correos electrónicos de phishing con temática de facturación dirigidos a empresas españolas para distribuir un ladrón de información llamado DarkCloud
  • Uso de correos electrónicos de phishing que suplantan la identidad de un banco rumano para implementar un ladrón de información llamado Masslogger dirigido a organizaciones ubicadas en Rumania.

Para mitigar los riesgos que plantean estos ataques, es esencial que las organizaciones adopten métodos de autenticación resistentes al phishing para los usuarios, utilicen navegadores que puedan bloquear sitios web maliciosos y habiliten la protección de la red para evitar que las aplicaciones o los usuarios accedan a dominios maliciosos.

Fuente y redacción: thehackernews.com

Compartir