{"id":1653085,"date":"2025-04-03T19:57:17","date_gmt":"2025-04-03T19:57:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/microsoft-advierte-sobre-los-ataques-por-correo-electronico-con-temas-fiscales-utilizando-codigos-pdf-y-qr-para-entregar-malware\/"},"modified":"2025-04-03T19:57:22","modified_gmt":"2025-04-03T19:57:22","slug":"microsoft-advierte-sobre-los-ataques-por-correo-electronico-con-temas-fiscales-utilizando-codigos-pdf-y-qr-para-entregar-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/microsoft-advierte-sobre-los-ataques-por-correo-electronico-con-temas-fiscales-utilizando-codigos-pdf-y-qr-para-entregar-malware\/","title":{"rendered":"Microsoft advierte sobre los ataques por correo electr\u00f3nico con temas fiscales utilizando c\u00f3digos PDF y QR para entregar malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Microsoft-advierte-sobre-los-ataques-por-correo-electronico-con-temas.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Microsoft advierte sobre varias campa\u00f1as de phishing que est\u00e1n aprovechando temas relacionados con los impuestos para implementar malware y robar credenciales.<\/p>\n<p>&#8220;Estas campa\u00f1as utilizan notablemente m\u00e9todos de redirecci\u00f3n, como acortadores de URL y c\u00f3digos QR contenidos en archivos adjuntos maliciosos y abusos de servicios leg\u00edtimos como servicios de alojamiento de archivos y p\u00e1ginas de perfil comercial para evitar la detecci\u00f3n&#8221;, Microsoft <a rel=\"noopener nofollow\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/04\/03\/threat-actors-leverage-tax-season-to-deploy-tax-themed-phishing-campaigns\/\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n<p>Un aspecto notable de estas campa\u00f1as es que conducen a p\u00e1ginas de phishing que se entregan a trav\u00e9s de una plataforma de phishing como servicio (PHAAS) con nombre en c\u00f3digo <a rel=\"noopener nofollow\" href=\"https:\/\/www.morado.io\/blog-posts\/raccoono365-script-analysis\" target=\"_blank\">Raccoono365<\/a>una plataforma de delitos electr\u00f3nicos que sali\u00f3 a la luz por primera vez a principios de diciembre de 2024.<\/p>\n<p>Tambi\u00e9n se entregan troyanos de acceso remoto (ratas) como REMCOS RAT, as\u00ed como otros marcos de malware y posteriores a la explotaci\u00f3n como Latrodectus, Ahkbot, Guloader y Bruteratel C4 (BRC4).<\/p>\n<p>Se estima que una de esas campa\u00f1as vistas por el gigante tecnol\u00f3gico el 6 de febrero de 2025 envi\u00f3 cientos de correos electr\u00f3nicos dirigidos a los Estados Unidos antes de la temporada de presentaci\u00f3n de impuestos que intent\u00f3 entregar BRC4 y Latrodectus. La actividad se ha atribuido a Storm-0249, un corredor de acceso inicial anteriormente conocido por distribuir Bazaloader, IceDid, Bumblebee y Emotet.<\/p>\n<p>Los ataques implican el uso de archivos adjuntos PDF que contienen un enlace que redirige a los usuarios a una URL acortada a trav\u00e9s de la marca de control, lo que finalmente los lleva a una p\u00e1gina de docusign falso con una opci\u00f3n para ver o descargar el documento.<\/p>\n<p>&#8220;Cuando los usuarios hicieron clic en el bot\u00f3n de descarga en la p\u00e1gina de destino, el resultado depend\u00eda de si su sistema y direcci\u00f3n IP pod\u00edan acceder a la siguiente etapa basada en las reglas de filtrado configuradas por el actor de amenaza&#8221;, dijo Microsoft.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Si se permite el acceso, al usuario se le env\u00eda un archivo JavaScript que posteriormente descarga un instalador de software de Microsoft (MSI) para BRC4, que sirve como un conducto para implementar Latrodectus. Si la v\u00edctima no se considera un objetivo lo suficientemente valioso, se les env\u00eda un documento PDF benigno de RoyaleGroupnyc[.]com.<\/p>\n<p>Microsoft dijo que tambi\u00e9n detect\u00f3 una segunda campa\u00f1a entre el 12 y el 28 de febrero de 2025, donde se enviaron correos electr\u00f3nicos de phishing con temas fiscales a m\u00e1s de 2,300 organizaciones en los Estados Unidos, particularmente dirigidos a sectores de ingenier\u00eda, TI y consultor\u00eda.<\/p>\n<p>Los correos electr\u00f3nicos, en este caso, no ten\u00edan contenido en el cuerpo de mensajes, pero presentaban un archivo adjunto PDF que conten\u00eda un c\u00f3digo QR que apuntaba a un enlace asociado con los PHAA RACCOONO365 que imita las p\u00e1ginas de inicio de sesi\u00f3n de Microsoft 365 para enga\u00f1ar a los usuarios para que ingresen a sus credenciales.<\/p>\n<p>En una se\u00f1al de que estas campa\u00f1as vienen en varias formas, los correos electr\u00f3nicos de phishing con temas fiscales tambi\u00e9n se han marcado como propagaci\u00f3n de otras familias de malware como Ahkbot y Guloader.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743710235_72_Microsoft-advierte-sobre-los-ataques-por-correo-electronico-con-temas.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743710235_72_Microsoft-advierte-sobre-los-ataques-por-correo-electronico-con-temas.jpg\" alt=\"\" border=\"0\" data-original-height=\"560\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Se ha encontrado que las cadenas de infecci\u00f3n de Ahkbot dirigen a los usuarios a sitios que alojan un archivo malicioso de Microsoft Excel que, al abrir y habilitar macros, descarga y ejecuta un archivo MSI para iniciar un script de autohotkey, que luego descarga un m\u00f3dulo de captura de pantalla de captura de pantalla de captura de capturas de capturas del host y exfiltrate a un servidor remoto.<\/p>\n<p>La campa\u00f1a de Guloader tiene como objetivo enga\u00f1ar a los usuarios para que haga clic en una URL presente dentro de un archivo adjunto de correo electr\u00f3nico PDF, lo que resulta en la descarga de un archivo zip.<\/p>\n<p>&#8220;El archivo ZIP conten\u00eda varios archivos .lnk configurados para imitar documentos fiscales. Si el usuario lanz\u00f3, el archivo .lnk usa PowerShell para descargar un archivo PDF y un archivo .bat&#8221;, dijo Microsoft. &#8220;El archivo .bat a su vez descarg\u00f3 el ejecutable de Guloader, que luego instal\u00f3 REMCOS&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743710236_481_Microsoft-advierte-sobre-los-ataques-por-correo-electronico-con-temas.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743710236_481_Microsoft-advierte-sobre-los-ataques-por-correo-electronico-con-temas.jpg\" alt=\"\" border=\"0\" data-original-height=\"616\" data-original-width=\"979\"\/><\/a><\/div>\n<p>El desarrollo se produce semanas despu\u00e9s de que Microsoft advirti\u00f3 sobre otra campa\u00f1a Storm-0249 que redirigi\u00f3 a los usuarios a sitios web falsos que anuncian Windows 11 Pro para ofrecer una versi\u00f3n actualizada del malware del cargador Latrodectus a trav\u00e9s de la herramienta Bruteratel Red-Taming.<\/p>\n<p>&#8220;El actor de amenaza probablemente us\u00f3 Facebook para llevar el tr\u00e1fico a las p\u00e1ginas de descarga falsas de Windows 11 Pro, como observamos las URL de referentes de Facebook en m\u00faltiples casos&#8221;, Microsoft <a rel=\"noopener nofollow\" href=\"https:\/\/x.com\/MsftSecIntel\/status\/1903174779856883903\" target=\"_blank\">dicho<\/a> En una serie de publicaciones en X.<\/p>\n<p>&#8220;Latrodectus 1.9, la \u00faltima evoluci\u00f3n del malware observada por primera vez en febrero de 2025, reintrodujo la tarea programada de persistencia y se agreg\u00f3 el comando 23, lo que permite la ejecuci\u00f3n de los comandos de Windows a trav\u00e9s de &#8216;cmd.exe \/c.'&#8221;.<\/p>\n<p>La divulgaci\u00f3n tambi\u00e9n sigue un aumento en las campa\u00f1as que utilizan c\u00f3digos QR en documentos de phishing para disfrazar las URL maliciosas como parte de ataques generalizados dirigidos a Europa y los Estados Unidos, lo que resulta en un robo de credenciales.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743488507_401_Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;El an\u00e1lisis de las URL extra\u00eddas de los c\u00f3digos QR en estas campa\u00f1as revela que los atacantes suelen evitar, incluidas las URL que apuntan directamente al dominio de phishing&#8221;, la Unidad de Palo Alto Networks 42 <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/qr-code-phishing\/\" target=\"_blank\">dicho<\/a> en un informe. &#8220;En cambio, a menudo usan mecanismos de redirecci\u00f3n de URL o explotaci\u00f3n <a rel=\"noopener nofollow\" href=\"https:\/\/cwe.mitre.org\/data\/definitions\/601.html\" target=\"_blank\">Redirecciones abiertas<\/a> en sitios web leg\u00edtimos &#8220;.<\/p>\n<p>Estos hallazgos tambi\u00e9n vienen a ra\u00edz de varias campa\u00f1as de phishing e ingenier\u00eda social que se han marcado en las \u00faltimas semanas.<\/p>\n<ul>\n<li>Uso de la t\u00e9cnica de navegador en el navegador (BITB) para <a rel=\"noopener nofollow\" href=\"https:\/\/www.silentpush.com\/blog\/browser-in-the-browser-attacks\/\" target=\"_blank\">atender<\/a> Las ventanas emergentes de navegador aparentemente realistas que enga\u00f1an a los jugadores de Counter-Strike 2 para que ingresen a sus credenciales de vapor con el probable objetivo de revender el acceso a estas cuentas para obtener ganancias<\/li>\n<li>Uso de malware de robador de informaci\u00f3n para <a rel=\"noopener nofollow\" href=\"https:\/\/constella.ai\/cybercriminals-are-exploiting-email-marketing-platforms\/\" target=\"_blank\">Cuentas de Schack MailChimp<\/a>permitiendo a los actores de amenaza enviar mensajes de correo electr\u00f3nico a granel<\/li>\n<li>Uso de <a rel=\"noopener nofollow\" href=\"https:\/\/www.forcepoint.com\/blog\/x-labs\/obfuscated-svg-files-redirect-victims\" target=\"_blank\">Archivos svg<\/a> para evitar filtros de spam y redirigir a los usuarios a fingir p\u00e1ginas de inicio de sesi\u00f3n de Microsoft<\/li>\n<li>Uso de <a rel=\"noopener nofollow\" href=\"https:\/\/cofense.com\/blog\/threat-actors-abuse-trust-in-cloud-collaboration-platforms\" target=\"_blank\">Servicios de colaboraci\u00f3n de confianza<\/a> Al igual que Adobe, Docusign, Dropbox, Canva y Zoho para Sidestep Side Secure Gateways (SEG) y robar credenciales<\/li>\n<li>Uso de <a rel=\"noopener nofollow\" href=\"https:\/\/cofense.com\/blog\/more-than-music-the-unseen-cybersecurity-threats-of-streaming-services\" target=\"_blank\">Correos electr\u00f3nicos Servicios de transmisi\u00f3n de m\u00fasica<\/a> como Spotify y Apple Music con el objetivo de cosechar credenciales e informaci\u00f3n de pago<\/li>\n<li>Uso de advertencias de seguridad falsas relacionadas con actividades sospechosas en <a rel=\"noopener nofollow\" href=\"https:\/\/layerxsecurity.com\/blog\/layerx-labs-identifies-new-zero-hour-phishing-attack-mimicking-microsoft-security-notifications\/\" target=\"_blank\">Windows<\/a> y <a rel=\"noopener nofollow\" href=\"https:\/\/layerxsecurity.com\/blog\/layerx-identifies-new-phishing-campaign-targeted-at-mac-users\/\" target=\"_blank\">Apple Mac<\/a> dispositivos en sitios web falsos para enga\u00f1ar a los usuarios para que proporcionen credenciales de su sistema<\/li>\n<li>Uso de <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2025-03-19-IOCs-for-Chinese-Language-trojanized-installers.txt\" target=\"_blank\">sitios web falsos<\/a> Distribuci\u00f3n de instaladores de Windows troyanizados para Deepseek, I4tools y la edici\u00f3n de escritorio del Diccionario de Yodao que suelta la rata GH0st<\/li>\n<li>Uso de <a rel=\"noopener nofollow\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/darkcloud-stealer-via-tar-archives-in-multi-sector-spanish-email-campaign\" target=\"_blank\">correos electr\u00f3nicos de phishing con tem\u00e1tica de facturaci\u00f3n<\/a> Dirigirse a las empresas espa\u00f1olas para distribuir un robador de informaci\u00f3n llamado Darkcloud<\/li>\n<li>Uso de <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/masslogger-bank-themed-phishing-primarily-targets-romania-with-broader-european-reach\" target=\"_blank\">Phishing correos electr\u00f3nicos que se hacen pasar por un banco rumano<\/a> para desplegar un robador de informaci\u00f3n llamado MassLogger dirigido a organizaciones ubicadas en Rumania<\/li>\n<\/ul>\n<p>Para mitigar los riesgos planteados por estos ataques, es esencial que las organizaciones adopten m\u00e9todos de autenticaci\u00f3n resistentes a phishing para los usuarios, usen navegadores que puedan bloquear sitios web maliciosos y permitir que la protecci\u00f3n de la red evite que las aplicaciones o usuarios accedan a dominios maliciosos.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? Seguirnos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/microsoft-warns-of-tax-themed-email.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft advierte sobre varias campa\u00f1as de phishing que est\u00e1n aprovechando temas relacionados con los impuestos para implementar malware<\/p>\n","protected":false},"author":1,"featured_media":1653086,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6088,2346,4661,782,4664,99,1838,5933,326,3021,273784,36,4669,273783,7983,4654,273782,4659,4653,4655,18,28888,231,246983,4665,246984,131,15891,9413,455,239484],"class_list":["post-1653085","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-advierte","tag-ataques","tag-ataques-ciberneticos","tag-codigos","tag-como-hackear","tag-con","tag-correo","tag-electronico","tag-entregar","tag-fiscales","tag-las-noticias-del-hacker","tag-los","tag-malware","tag-malware-de-ransomware","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-pdf","tag-por","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sobre","tag-temas","tag-utilizando","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1653085","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1653085"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1653085\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1653086"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1653085"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1653085"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1653085"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}