Microsoft met en garde contre plusieurs campagnes de phishing qui tirent parti des thèmes d’impôt pour déployer des logiciels malveillants et voler des informations d’identification.

“Ces campagnes utilisent notamment des méthodes de redirection telles que les raccourcisseurs d’URL et les codes QR contenus dans des pièces jointes malveillantes et des services légitimes d’abus comme les services d’hébergement de fichiers et les pages de profil d’entreprise pour éviter la détection”, Microsoft dit Dans un rapport partagé avec le Hacker News.

Un aspect notable de ces campagnes est qu’ils conduisent à des pages de phishing qui sont livrées via une plate-forme de phishing en tant que service (PHAAS) Raccoono365une plate-forme de crime électronique qui a été révélée pour la première fois début décembre 2024.

Les chevaux de Troie (rats) à l’accès à distance sont également livrés comme Remcos Rat, ainsi que d’autres cadres de logiciels malveillants et post-exploitation tels que Latrodectus, Ahkbot, Guloder et Bruteratel C4 (BRC4).

On estime que l’une de ces campagnes repérées par le géant de la technologie le 6 février 2025 aurait envoyé des centaines de courriels ciblant les États-Unis avant la saison des déclarations de revenus qui a tenté de livrer BRC4 et Latrodectus. L’activité a été attribuée à Storm-0249, un courtier d’accès initial auparavant connu pour avoir distribué Bazaloader, Icedid, Bumblebee et Emotet.

Les attaques impliquent l’utilisation de pièces jointes PDF contenant un lien qui redirige les utilisateurs vers une URL raccourcie via le changement de nom, les conduisant finalement à une fausse page Docuusign avec une option pour afficher ou télécharger le document.

“Lorsque les utilisateurs ont cliqué sur le bouton de téléchargement sur la page de destination, le résultat dépendait de savoir si leur système et leur adresse IP étaient autorisés à accéder à l’étape suivante en fonction des règles de filtrage configurées par l’acteur de la menace”, a déclaré Microsoft.

Cybersécurité

Si l’accès est autorisé, l’utilisateur reçoit un fichier JavaScript qui télécharge par la suite un programme d’installation de logiciel Microsoft (MSI) pour BRC4, qui sert de conduit pour le déploiement de Latrodectus. Si la victime n’est pas considérée[.]com.

Microsoft a déclaré qu’il a également détecté une deuxième campagne entre le 12 et le 28 février 2025, où des courriels de phishing sur le thème des impôts ont été envoyés à plus de 2 300 organisations aux États-Unis, en particulier des secteurs d’ingénierie, d’informatique et de conseil.

Les e-mails, dans ce cas, n’avaient aucun contenu dans le corps du message, mais présentaient une pièce jointe PDF contenant un code QR qui indiquait un lien associé au Raccoono365 PHAAS qui imite les pages de connexion Microsoft 365 pour inciter les utilisateurs à entrer leurs informations d’identification.

Dans un signe que ces campagnes se présentent sous diverses formes, les e-mails de phishing sur le thème des impôts ont également été signalés comme propageant d’autres familles de logiciels malveillants comme Ahkbot et Guloder.

Il a été constaté que les chaînes d’infection AHKBOT dirigent les utilisateurs vers des sites hébergeant un fichier Microsoft Excel malveillant qui, en ouvrant et en permettant aux macros, téléchargements et exécute un fichier MSI afin de lancer un script AutoHotKey, qui télécharge ensuite un module d’écran pour un serveur distant.

La campagne Guloader vise à tromper les utilisateurs en cliquant sur une URL présente dans une pièce jointe de messagerie PDF, ce qui entraîne le téléchargement d’un fichier zip.

“Le fichier zip contenait divers fichiers .lnk configurés pour imiter les documents fiscaux. Si elle est lancée par l’utilisateur, le fichier .lnk utilise PowerShell pour télécharger un fichier PDF et .bat”, a déclaré Microsoft. “Le fichier .bat à son tour a téléchargé l’exécutable Guloader, qui a ensuite installé des remcos.”

Le développement intervient des semaines après que Microsoft a mis en garde contre une autre campagne Storm-0249 qui a redirigé les utilisateurs vers des sites Web de faux sites Web Windows 11 Pro pour livrer une version mise à jour du malware Latrodectus Loader via l’outil d’équipe rouge Bruteratel.

“L’acteur de menace a probablement utilisé Facebook pour générer du trafic vers les fausses pages de téléchargement de Windows 11 Pro, car nous avons observé des URL de références Facebook dans plusieurs cas”, Microsoft dit Dans une série de messages sur X.

“Latrodectus 1.9, la dernière évolution du malware observée pour la première fois en février 2025, a réintroduit la tâche planifiée de persistance et ajouté la commande 23, permettant l’exécution des commandes Windows via ‘cmd.exe / c.’ ‘

La divulgation suit également une augmentation des campagnes qui utilisent des codes QR dans des documents de phishing pour masquer les URL malveillants dans le cadre d’attaques généralisées destinées à l’Europe et aux États-Unis, entraînant un vol d’identification.

Cybersécurité

“L’analyse des URL extraites des codes QR dans ces campagnes révèle que les attaquants évitent généralement d’inclure des URL qui pointent directement vers le domaine de phishing”, Palo Alto Networks Unit 42 dit dans un rapport. “Au lieu de cela, ils utilisent souvent des mécanismes de redirection d’URL ou exploitent Redirection ouverte sur des sites Web légitimes. “

Ces résultats interviennent également à la suite de plusieurs campagnes de phishing et d’ingénierie sociale qui ont été signalées ces dernières semaines –

  • Utilisation de la technique du navigateur dans le navigateur (BITB) servir Des fenêtres de navigateur apparemment réalistes qui trompent les joueurs de Counter-Strike 2 dans la saisie de leurs informations d’identification à vapeur dans l’objectif probable de revendre l’accès à ces comptes à but lucratif
  • Utilisation du malware du voleur d’informations pour Comptes de hijack MailChimppermettant aux acteurs de la menace d’envoyer des e-mails en vrac
  • Usage de Fichiers SVG pour contourner les filtres de spam et rediriger les utilisateurs vers des pages de connexion Microsoft
  • Usage de Services de collaboration de confiance Comme Adobe, DocuSign, Dropbox, Canva et Zoho pour contourner les passerelles e-mail sécurisées (SEGS) et voler des informations d’identification
  • Usage de e-mail des services de streaming musicaux par e-mail Comme Spotify et Apple Music dans le but de récolter les informations d’identification et les informations de paiement
  • Utilisation de faux avertissements de sécurité liés à une activité suspecte sur Fenêtre et Pomme mac Appareils sur des sites Web faux pour tromper les utilisateurs à fournir leurs informations d’identification système
  • Usage de faux sites Web Distribution des installateurs de Windows Trrojanisés pour Deepseek, I4Tools et Youdao Dictionary Desktop Edition That Drop Gh0st Rat
  • Usage de e-mails de phishing sur le thème de la facturation cibler les entreprises espagnoles pour distribuer un voleur d’informations nommé DarkCloud
  • Usage de e-mails de phishing imitant une banque roumaine Pour déployer un voleur d’informations appelé MassLogger Cibunting Organization situé en Roumanie

Pour atténuer les risques posés par ces attaques, il est essentiel que les organisations adoptent des méthodes d’authentification résistantes au phishing pour les utilisateurs, utilisent des navigateurs qui peuvent bloquer les sites Web malveillants et permettre la protection du réseau pour empêcher les applications ou les utilisateurs d’accéder à des domaines malveillants.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57