Microsoft недавно предупредил об активном использовании налоговой тематики в фишинговых атаках, цель которых – кража учетных данных и распространение вредоносного программного обеспечения. Злоумышленники используют сокращенные ссылки, QR-коды и файлы в PDF-вложениях, чтобы обойти системы обнаружения угроз через легитимные сервисы хостинга и страницы бизнес-профилей.
Платформа RaccoonO365, впервые выявленная в начале декабря 2024 года, служит инструментом Phishing-as-a-Service для организации фишинговых кампаний. Ее возможности позволяют злоумышленникам оперативно доставлять фишинговые страницы, что содействует распространению вредоносных программ, таких как Remcos RAT, Latrodectus, AHKBot, GuLoader и BruteRatel C4 (BRc4).
6 февраля 2025 года в США была зафиксирована кампания, предположительно отправившая сотни писем перед началом налогового сезона. Вложенные PDF-файлы содержали ссылки, сокращенные через ReBrandly, которые перенаправляли пользователей на фейковую страницу Docusign с опциями для просмотра или скачивания документа. При успешном прохождении фильтрации пользователь получал JavaScript-файл, запускающий загрузку установщика MSI для BRc4, далее активирующего Latrodectus, а в противном случае доставлялся «безобидный» PDF от royalegroupnyc[.]com. Кампания связана с группой Storm-0249, ранее известной распространением BazaLoader, IcedID, Bumblebee и Emotet.
Между 12 и 28 февраля 2025 года вторая атака была направлена на свыше 2300 организаций в США, преимущественно в секторах инженерии, информационных технологий и консалтинга. Письма не содержали текстового сообщения, а только PDF-вложения с QR-кодом, ведущим на фишинговую страницу на платформе RaccoonO365, имитирующую страницу входа в Microsoft 365 для кражи учетных данных.
Атакующие используют и другие вариации налоговых фишинговых писем, внедряя вредоносное ПО семейства AHKBot и GuLoader. При заражении AHKBot пользователи перенаправляются на сайт с вредоносным файлом Microsoft Excel, содержащим макросы, после чего загружается MSI, запускающий скрипт AutoHotKey, способный скачать модуль Screenshotter для захвата снимков экрана. В свою очередь, схема GuLoader обманывает пользователя, предлагая перейти по ссылке из PDF-вложения, что приводит к скачиванию ZIP-архива с.lnk файлами, имитирующими налоговые документы, запуск которых инициирует PowerShell для загрузки PDF и BAT-файла, в итоге приводящего к установке GuLoader и Remcos RAT.
Другие кампании группы Storm-0249 перенаправляют пользователей на фейковые сайты с предложениями Windows 11 Pro, при этом обновленный загрузчик Latrodectus распространяется через инструмент BruteRatel. Трафик при этом обеспечивается за счет ссылок с Ф⃰. Модификации Latrodectus 1.9, впервые обнаруженные в феврале 2025 года, включают создание запланированной задачи для обеспечения постоянного доступа и команду "cmd.exe /c.S.,» для выполнения системных команд, что способствует краже учетных данных. Анализ Palo Alto Networks Unit 42 показывает, что злоумышленники избегают прямых URL, используя редиректы и уязвимости открытых перенаправлений на легитимных сайтах.
Современные атаки также используют продвинутые техники социальной инженерии: метод Browser-in-the-browser (BitB) имитирует реалистичные всплывающие окна для игроков Counter-Strike 2 с целью кражи учетных данных Steam, вредоносное ПО захватывает учетные записи MailChimp для рассылки спама, SVG-файлы обходят спам-фильтры и перенаправляют на поддельные страницы входа в Microsoft, а атаки через доверенные сервисы Adobe, DocuSign, Dropbox, Canva и Zoho позволяют обойти защищенные почтовые шлюзы.
Дополнительные методы включают спуфинг музыкальных сервисов Spotify и Apple Music для получения учетных данных и платёжной информации, фальшивые оповещения о подозрительной активности на устройствах Windows и Mac, а также распространение троянизированных установщиков Windows для программ DeepSeek, i4Tools и Youdao Dictionary Desktop Edition, которые загружают Gh0st RAT. Письма с темой биллинга нацелены на испанские компании с использованием вредоносного DarkCloud, а фишинговые сообщения от имени румынского банка применяют Masslogger против организаций в Румынии.
Для защиты от таких атак рекомендуется внедрять фишинг-устойчивые методы аутентификации, использовать веб-браузеры с функциями блокировки вредоносных сайтов и активировать сетевые средства защиты, препятствующие доступу к вредоносным доменам.
Изображение носит иллюстративный характер
Платформа RaccoonO365, впервые выявленная в начале декабря 2024 года, служит инструментом Phishing-as-a-Service для организации фишинговых кампаний. Ее возможности позволяют злоумышленникам оперативно доставлять фишинговые страницы, что содействует распространению вредоносных программ, таких как Remcos RAT, Latrodectus, AHKBot, GuLoader и BruteRatel C4 (BRc4).
6 февраля 2025 года в США была зафиксирована кампания, предположительно отправившая сотни писем перед началом налогового сезона. Вложенные PDF-файлы содержали ссылки, сокращенные через ReBrandly, которые перенаправляли пользователей на фейковую страницу Docusign с опциями для просмотра или скачивания документа. При успешном прохождении фильтрации пользователь получал JavaScript-файл, запускающий загрузку установщика MSI для BRc4, далее активирующего Latrodectus, а в противном случае доставлялся «безобидный» PDF от royalegroupnyc[.]com. Кампания связана с группой Storm-0249, ранее известной распространением BazaLoader, IcedID, Bumblebee и Emotet.
Между 12 и 28 февраля 2025 года вторая атака была направлена на свыше 2300 организаций в США, преимущественно в секторах инженерии, информационных технологий и консалтинга. Письма не содержали текстового сообщения, а только PDF-вложения с QR-кодом, ведущим на фишинговую страницу на платформе RaccoonO365, имитирующую страницу входа в Microsoft 365 для кражи учетных данных.
Атакующие используют и другие вариации налоговых фишинговых писем, внедряя вредоносное ПО семейства AHKBot и GuLoader. При заражении AHKBot пользователи перенаправляются на сайт с вредоносным файлом Microsoft Excel, содержащим макросы, после чего загружается MSI, запускающий скрипт AutoHotKey, способный скачать модуль Screenshotter для захвата снимков экрана. В свою очередь, схема GuLoader обманывает пользователя, предлагая перейти по ссылке из PDF-вложения, что приводит к скачиванию ZIP-архива с.lnk файлами, имитирующими налоговые документы, запуск которых инициирует PowerShell для загрузки PDF и BAT-файла, в итоге приводящего к установке GuLoader и Remcos RAT.
Другие кампании группы Storm-0249 перенаправляют пользователей на фейковые сайты с предложениями Windows 11 Pro, при этом обновленный загрузчик Latrodectus распространяется через инструмент BruteRatel. Трафик при этом обеспечивается за счет ссылок с Ф⃰. Модификации Latrodectus 1.9, впервые обнаруженные в феврале 2025 года, включают создание запланированной задачи для обеспечения постоянного доступа и команду "cmd.exe /c.S.,» для выполнения системных команд, что способствует краже учетных данных. Анализ Palo Alto Networks Unit 42 показывает, что злоумышленники избегают прямых URL, используя редиректы и уязвимости открытых перенаправлений на легитимных сайтах.
Современные атаки также используют продвинутые техники социальной инженерии: метод Browser-in-the-browser (BitB) имитирует реалистичные всплывающие окна для игроков Counter-Strike 2 с целью кражи учетных данных Steam, вредоносное ПО захватывает учетные записи MailChimp для рассылки спама, SVG-файлы обходят спам-фильтры и перенаправляют на поддельные страницы входа в Microsoft, а атаки через доверенные сервисы Adobe, DocuSign, Dropbox, Canva и Zoho позволяют обойти защищенные почтовые шлюзы.
Дополнительные методы включают спуфинг музыкальных сервисов Spotify и Apple Music для получения учетных данных и платёжной информации, фальшивые оповещения о подозрительной активности на устройствах Windows и Mac, а также распространение троянизированных установщиков Windows для программ DeepSeek, i4Tools и Youdao Dictionary Desktop Edition, которые загружают Gh0st RAT. Письма с темой биллинга нацелены на испанские компании с использованием вредоносного DarkCloud, а фишинговые сообщения от имени румынского банка применяют Masslogger против организаций в Румынии.
Для защиты от таких атак рекомендуется внедрять фишинг-устойчивые методы аутентификации, использовать веб-браузеры с функциями блокировки вредоносных сайтов и активировать сетевые средства защиты, препятствующие доступу к вредоносным доменам.
