¿Has abierto una carta de la oficina de impuestos? Felicitaciones, su computadora se ha convertido en parte de una botnet

Los ataques de phishing vinculados a la temporada fiscal en EE. UU. se han intensificado: Microsoft registró envíos masivos de correos maliciosos que utilizan temas de declaración de impuestos para el robo de datos y la instalación de software malicioso.

Una característica de estas campañas es el uso de técnicas modernas para eludir filtros y sistemas de protección: los atacantes incorporan códigos QR, acortadores de enlaces, servicios legítimos de almacenamiento de archivos y perfiles empresariales para no despertar sospechas en los sistemas antivirus y pasarelas de correo.

Los objetivos de las campañas son tanto usuarios corporativos como particulares, quienes son dirigidos a páginas falsas de inicio de sesión a través de la plataforma de phishing RaccoonO365. Esta se utiliza para recopilar credenciales de Microsoft 365, así como para distribuir componentes maliciosos como los troyanos remotos Remcos, los cargadores GuLoader, AHKBot, Latrodectus y el framework BruteRatel C4, diseñado para post-explotación y pruebas de penetración.

Uno de los ataques, detectado el 6 de febrero de 2025, estaba dirigido a usuarios estadounidenses y se propagaba activamente a través de archivos PDF con enlaces que conducían a una página falsa de DocuSign. Al hacer clic en el enlace, se realizaba una verificación del sistema y la dirección IP de la víctima: si el dispositivo se consideraba "prometedor", se cargaba un script en JavaScript que instalaba un archivo MSI malicioso con BRc4 y posteriormente descargaba Latrodectus. En otros casos, el usuario recibía un archivo inofensivo, lo que reducía el riesgo de exposición del esquema.

Otra campaña, registrada entre el 12 y el 28 de febrero, fue aún más extensa: más de 2300 organizaciones en los sectores de TI, ingeniería y consultoría fueron víctimas de correos con archivos PDF que contenían códigos QR. Estos códigos conducían a páginas de phishing RaccoonO365 que simulaban la interfaz de inicio de sesión de Microsoft 365, obligando así a los empleados a introducir sus credenciales.

Los escenarios de phishing varían activamente. En el caso de AHKBot, se ofrecía al usuario un documento de Excel con macros: tras su activación comenzaba una cadena de descarga que terminaba con la instalación de un script de AutoHotKey. Este realizaba capturas de pantalla y las enviaba a un servidor remoto. La campaña de GuLoader utilizaba archivos ZIP con accesos directos disfrazados de formularios fiscales. Al abrirlos se ejecutaba PowerShell, lo que iniciaba la descarga del código malicioso e instalaba el RAT Remcos.

Cada vez con más frecuencia, los atacantes utilizan herramientas para engañar filtros y evadir pasarelas de seguridad: por ejemplo, archivos SVG para eludir sistemas antispam, ventanas de navegador falsas (BitB) que simulan interfaces de inicio de sesión, así como el uso de servicios como Adobe, Dropbox, Zoho y DocuSign para encubrir actividades maliciosas.

Los investigadores prestaron especial atención a las acciones del grupo Storm-0249. Sus recientes campañas incluían redirecciones de usuarios a páginas falsas de descarga de Windows 11 Pro mediante anuncios publicitarios en Facebook, lo que llevaba a la instalación de Latrodectus. La versión actualizada del malware, registrada en febrero, incluía nuevos comandos y un método de persistencia en el sistema mediante tareas programadas.

En el contexto del aumento de la actividad de ataques de phishing, se registran cada vez más casos de delincuentes que actúan bajo la apariencia de marcas conocidas: correos falsos en nombre de Spotify, Apple Music, bancos y servicios de actualización de sistemas. El objetivo sigue siendo el mismo: obtener acceso a credenciales, instalar componentes espía y monetizar la información obtenida.

Para minimizar los riesgos, Microsoft recomienda utilizar métodos de autenticación resistentes al phishing, emplear navegadores con bloqueo de sitios maliciosos y activar la protección de red que impida conexiones con dominios maliciosos.