Microsoft avverte di campagne di phishing a tema fiscale
Microsoft ha recentemente lanciato un allarme riguardo a diverse campagne di phishing che sfruttano temi legati alle tasse per distribuire malware e rubare credenziali. Queste campagne utilizzano metodi di reindirizzamento come accorciatori di URL e codici QR contenuti in allegati malevoli, oltre ad abusare di servizi legittimi come quelli di hosting file e pagine di profili aziendali per evitare il rilevamento.
Phishing-as-a-service e malware distribuiti
Un aspetto notevole di queste campagne è l’uso di una piattaforma di phishing-as-a-service (PhaaS) chiamata RaccoonO365, un’e-crime platform emersa per la prima volta a dicembre 2024. Tra i malware distribuiti ci sono trojan di accesso remoto (RAT) come Remcos RAT, oltre ad altri malware e framework di post-sfruttamento come Latrodectus, AHKBot, GuLoader e BruteRatel C4 (BRc4).
Attacchi mirati e tecniche di inganno
Una campagna individuata da Microsoft il 6 febbraio 2025 ha inviato centinaia di email mirate agli Stati Uniti in vista della stagione di dichiarazione dei redditi, cercando di distribuire BRc4 e Latrodectus. Questa attività è stata attribuita a Storm-0249, un broker di accesso iniziale noto per la distribuzione di BazaLoader, IcedID, Bumblebee ed Emotet. Gli attacchi coinvolgono l’uso di allegati PDF contenenti un link che reindirizza gli utenti a un URL accorciato tramite Rebrandly, portandoli infine a una falsa pagina Docusign con l’opzione di visualizzare o scaricare il documento.
Filtraggio degli accessi e distribuzione di malware
Quando gli utenti cliccano sul pulsante di download nella pagina di destinazione, l’esito dipende dal fatto che il loro sistema e indirizzo IP siano autorizzati ad accedere alla fase successiva in base alle regole di filtraggio impostate dall’attore della minaccia. Se l’accesso è consentito, l’utente riceve un file JavaScript che successivamente scarica un Microsoft Software Installer (MSI) per BRc4, che funge da condotto per distribuire Latrodectus. Se la vittima non è considerata un obiettivo sufficientemente prezioso, viene inviato un documento PDF benigno da royalegroupnyc[.]com.
Seconda campagna e settori colpiti
Microsoft ha rilevato una seconda campagna tra il 12 e il 28 febbraio 2025, in cui email di phishing a tema fiscale sono state inviate a oltre 2.300 organizzazioni negli Stati Uniti, con particolare attenzione ai settori dell’ingegneria, IT e consulenza. In questo caso, le email non contenevano testo nel corpo del messaggio, ma presentavano un allegato PDF contenente un codice QR che puntava a un link associato a RaccoonO365 PhaaS, che imita le pagine di login di Microsoft 365 per ingannare gli utenti a inserire le loro credenziali.
Varietà di malware e tecniche di infezione
Queste campagne di phishing a tema fiscale sono state segnalate anche per la propagazione di altre famiglie di malware come AHKBot e GuLoader. Le catene di infezione di AHKBot sono state trovate a indirizzare gli utenti verso siti che ospitano un file Microsoft Excel malevolo che, una volta aperto e con macro abilitate, scarica ed esegue un file MSI per lanciare uno script AutoHotKey, che poi scarica un modulo Screenshotter per catturare schermate dall’host compromesso ed esfiltrarle a un server remoto.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
