Microsoft alerta sobre ataques por e-mail com tema tributário usando PDFs e QR Codes para disseminar malware

A Microsoft emitiu um alerta sobre várias campanhas de phishing que estão explorando temas relacionados a impostos para distribuir malware e roubar credenciais de acesso de usuários.

Essas campanhas utilizam métodos de redirecionamento como encurtadores de URL e códigos QR incorporados em anexos maliciosos, além de abusar de serviços legítimos de hospedagem de arquivos e perfis corporativos para evitar a detecção. Um dos destaques dessas ações é o uso de páginas de phishing hospedadas em plataformas de phishing-as-a-service (PhaaS), como a RaccoonO365, identificada pela primeira vez em dezembro de 2024.

Além disso, os ataques entregam trojans de acesso remoto (RATs), como o Remcos RAT, além de outras ferramentas de malware e pós-exploração como Latrodectus, AHKBot, GuLoader e BruteRatel C4 (BRc4). Em uma das campanhas observadas no dia 6 de fevereiro de 2025, centenas de e-mails foram enviados para alvos nos EUA às vésperas do período de declaração do imposto de renda. Essa atividade foi atribuída ao grupo de hackers Storm-0249, já conhecido por propagar malwares como BazaLoader, IcedID, Bumblebee e Emotet.

Os ataques usavam arquivos PDF com links encurtados via Rebrandly que redirecionavam para páginas falsas do DocuSign. Ao clicar no botão "Download", o resultado variava de acordo com regras de filtragem definidas pelo invasor. Se o sistema ou IP fosse considerado valioso, o usuário recebia um arquivo JavaScript que fazia o download de um instalador MSI da Microsoft com o BRc4, iniciando a infecção com o Latrodectus. Se não fosse considerado alvo prioritário, o usuário recebia apenas um PDF inofensivo.

Outra campanha detectada entre 12 e 28 de fevereiro de 2025 enviou e-mails com tema tributário a mais de 2.300 organizações nos EUA, com foco nos setores de engenharia, TI e consultoria. Esses e-mails continham apenas um anexo PDF com um código QR que levava a páginas falsas de login do Microsoft 365, hospedadas pelo RaccoonO365, para capturar credenciais.

Outras variações dessas campanhas também propagaram malware como o AHKBot, que infecta a vítima por meio de planilhas maliciosas do Excel contendo macros. Ao serem ativadas, as macros executam scripts AutoHotKey e capturam capturas de tela do dispositivo comprometido. Já a campanha com GuLoader induz o clique em links presentes em anexos PDF, levando ao download de arquivos ZIP com atalhos (.lnk) disfarçados de documentos fiscais. Esses atalhos executam scripts que, por sua vez, instalam o Remcos.

Essas ações seguem uma tendência crescente do uso de QR Codes em documentos de phishing, especialmente na Europa e nos EUA. Em vez de links diretos para sites maliciosos, os hackers utilizam redirecionamentos ou exploram redirecionamentos abertos em sites legítimos para dificultar a detecção. A Microsoft também destacou outras táticas de engenharia social recentemente usadas, como falsos pop-ups de navegador, arquivos SVG que burlam filtros de spam, e e-mails falsos de serviços como Spotify e Apple Music para roubo de informações.

Para mitigar esses riscos, a recomendação é adotar métodos de autenticação resistentes a phishing, utilizar navegadores com bloqueadores de sites maliciosos e habilitar proteção de rede para impedir o acesso a domínios comprometidos.

Via - THN