Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Microsoft advierte sobre los ataques por correo electrónico con temas fiscales utilizando códigos PDF y QR para entregar malware
  • Tecnología

Microsoft advierte sobre los ataques por correo electrónico con temas fiscales utilizando códigos PDF y QR para entregar malware

teknomers 3 de Nisan de 2025 (Last updated: 3 de Nisan de 2025) 7 minutes read
Microsoft advierte sobre los ataques por correo electrónico con temas


Microsoft advierte sobre varias campañas de phishing que están aprovechando temas relacionados con los impuestos para implementar malware y robar credenciales.

“Estas campañas utilizan notablemente métodos de redirección, como acortadores de URL y códigos QR contenidos en archivos adjuntos maliciosos y abusos de servicios legítimos como servicios de alojamiento de archivos y páginas de perfil comercial para evitar la detección”, Microsoft dicho En un informe compartido con The Hacker News.

Un aspecto notable de estas campañas es que conducen a páginas de phishing que se entregan a través de una plataforma de phishing como servicio (PHAAS) con nombre en código Raccoono365una plataforma de delitos electrónicos que salió a la luz por primera vez a principios de diciembre de 2024.

También se entregan troyanos de acceso remoto (ratas) como REMCOS RAT, así como otros marcos de malware y posteriores a la explotación como Latrodectus, Ahkbot, Guloader y Bruteratel C4 (BRC4).

Se estima que una de esas campañas vistas por el gigante tecnológico el 6 de febrero de 2025 envió cientos de correos electrónicos dirigidos a los Estados Unidos antes de la temporada de presentación de impuestos que intentó entregar BRC4 y Latrodectus. La actividad se ha atribuido a Storm-0249, un corredor de acceso inicial anteriormente conocido por distribuir Bazaloader, IceDid, Bumblebee y Emotet.

Los ataques implican el uso de archivos adjuntos PDF que contienen un enlace que redirige a los usuarios a una URL acortada a través de la marca de control, lo que finalmente los lleva a una página de docusign falso con una opción para ver o descargar el documento.

“Cuando los usuarios hicieron clic en el botón de descarga en la página de destino, el resultado dependía de si su sistema y dirección IP podían acceder a la siguiente etapa basada en las reglas de filtrado configuradas por el actor de amenaza”, dijo Microsoft.

Ciberseguridad

Si se permite el acceso, al usuario se le envía un archivo JavaScript que posteriormente descarga un instalador de software de Microsoft (MSI) para BRC4, que sirve como un conducto para implementar Latrodectus. Si la víctima no se considera un objetivo lo suficientemente valioso, se les envía un documento PDF benigno de RoyaleGroupnyc[.]com.

Microsoft dijo que también detectó una segunda campaña entre el 12 y el 28 de febrero de 2025, donde se enviaron correos electrónicos de phishing con temas fiscales a más de 2,300 organizaciones en los Estados Unidos, particularmente dirigidos a sectores de ingeniería, TI y consultoría.

Los correos electrónicos, en este caso, no tenían contenido en el cuerpo de mensajes, pero presentaban un archivo adjunto PDF que contenía un código QR que apuntaba a un enlace asociado con los PHAA RACCOONO365 que imita las páginas de inicio de sesión de Microsoft 365 para engañar a los usuarios para que ingresen a sus credenciales.

En una señal de que estas campañas vienen en varias formas, los correos electrónicos de phishing con temas fiscales también se han marcado como propagación de otras familias de malware como Ahkbot y Guloader.

Se ha encontrado que las cadenas de infección de Ahkbot dirigen a los usuarios a sitios que alojan un archivo malicioso de Microsoft Excel que, al abrir y habilitar macros, descarga y ejecuta un archivo MSI para iniciar un script de autohotkey, que luego descarga un módulo de captura de pantalla de captura de pantalla de captura de capturas de capturas del host y exfiltrate a un servidor remoto.

La campaña de Guloader tiene como objetivo engañar a los usuarios para que haga clic en una URL presente dentro de un archivo adjunto de correo electrónico PDF, lo que resulta en la descarga de un archivo zip.

“El archivo ZIP contenía varios archivos .lnk configurados para imitar documentos fiscales. Si el usuario lanzó, el archivo .lnk usa PowerShell para descargar un archivo PDF y un archivo .bat”, dijo Microsoft. “El archivo .bat a su vez descargó el ejecutable de Guloader, que luego instaló REMCOS”.

El desarrollo se produce semanas después de que Microsoft advirtió sobre otra campaña Storm-0249 que redirigió a los usuarios a sitios web falsos que anuncian Windows 11 Pro para ofrecer una versión actualizada del malware del cargador Latrodectus a través de la herramienta Bruteratel Red-Taming.

“El actor de amenaza probablemente usó Facebook para llevar el tráfico a las páginas de descarga falsas de Windows 11 Pro, como observamos las URL de referentes de Facebook en múltiples casos”, Microsoft dicho En una serie de publicaciones en X.

“Latrodectus 1.9, la última evolución del malware observada por primera vez en febrero de 2025, reintrodujo la tarea programada de persistencia y se agregó el comando 23, lo que permite la ejecución de los comandos de Windows a través de ‘cmd.exe /c.'”.

La divulgación también sigue un aumento en las campañas que utilizan códigos QR en documentos de phishing para disfrazar las URL maliciosas como parte de ataques generalizados dirigidos a Europa y los Estados Unidos, lo que resulta en un robo de credenciales.

Ciberseguridad

“El análisis de las URL extraídas de los códigos QR en estas campañas revela que los atacantes suelen evitar, incluidas las URL que apuntan directamente al dominio de phishing”, la Unidad de Palo Alto Networks 42 dicho en un informe. “En cambio, a menudo usan mecanismos de redirección de URL o explotación Redirecciones abiertas en sitios web legítimos “.

Estos hallazgos también vienen a raíz de varias campañas de phishing e ingeniería social que se han marcado en las últimas semanas.

  • Uso de la técnica de navegador en el navegador (BITB) para atender Las ventanas emergentes de navegador aparentemente realistas que engañan a los jugadores de Counter-Strike 2 para que ingresen a sus credenciales de vapor con el probable objetivo de revender el acceso a estas cuentas para obtener ganancias
  • Uso de malware de robador de información para Cuentas de Schack MailChimppermitiendo a los actores de amenaza enviar mensajes de correo electrónico a granel
  • Uso de Archivos svg para evitar filtros de spam y redirigir a los usuarios a fingir páginas de inicio de sesión de Microsoft
  • Uso de Servicios de colaboración de confianza Al igual que Adobe, Docusign, Dropbox, Canva y Zoho para Sidestep Side Secure Gateways (SEG) y robar credenciales
  • Uso de Correos electrónicos Servicios de transmisión de música como Spotify y Apple Music con el objetivo de cosechar credenciales e información de pago
  • Uso de advertencias de seguridad falsas relacionadas con actividades sospechosas en Windows y Apple Mac dispositivos en sitios web falsos para engañar a los usuarios para que proporcionen credenciales de su sistema
  • Uso de sitios web falsos Distribución de instaladores de Windows troyanizados para Deepseek, I4tools y la edición de escritorio del Diccionario de Yodao que suelta la rata GH0st
  • Uso de correos electrónicos de phishing con temática de facturación Dirigirse a las empresas españolas para distribuir un robador de información llamado Darkcloud
  • Uso de Phishing correos electrónicos que se hacen pasar por un banco rumano para desplegar un robador de información llamado MassLogger dirigido a organizaciones ubicadas en Rumania

Para mitigar los riesgos planteados por estos ataques, es esencial que las organizaciones adopten métodos de autenticación resistentes a phishing para los usuarios, usen navegadores que puedan bloquear sitios web maliciosos y permitir que la protección de la red evite que las aplicaciones o usuarios accedan a dominios maliciosos.

¿Encontró este artículo interesante? Seguirnos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: El próximo Centro Juvenil de Asistentes en Bankgebouw trae el vecindario ‘en estado de shock’: ‘Miedo por el descanso de mi noche’
Next: "Ya vemos morir a la gente"

Related Stories

  • Tecnología

Mélenchon quiere salvar los discos de PlayStation en 2027, ¿pero no es ya demasiado tarde?

teknomers 3 de Temmuz de 2026
Google ataca una amplia red de proxies residenciales vinculada a
  • Tecnología

Google ataca una amplia red de proxies residenciales vinculada a NetNut

teknomers 3 de Temmuz de 2026
Waymo abre una filial en Francia: los robots taxis se
  • Tecnología

Waymo abre una filial en Francia: los robots taxis se acercan a París

teknomers 3 de Temmuz de 2026

You May Have Missed

  • Deporte

Resultados de Wimbledon 2026: Los clasificados Roman Safiullin y Shintaro Mochizuki sorprenden a Joao Fonseca y Rafael Jodar

teknomers 3 de Temmuz de 2026
  • Finanzas

Climatización, conducción… Los buenos reflejos para preservar la batería de un coche eléctrico durante las olas de calor

teknomers 3 de Temmuz de 2026
Paraguay-Francia: la posible alineación de los Bleus con Digne y
  • Deporte

Paraguay-Francia: la posible alineación de los Bleus con Digne y Barcola como titulares nuevamente

teknomers 3 de Temmuz de 2026
  • Cultura

Haruki Murakami, David Peace, Bertrand Belin… Nuestra selección de diez libros de bolsillo para llevar en la maleta este verano

teknomers 3 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.