Microsoft waarschuwt voor e-mailaanvallen met belastingthema met behulp van PDF’s en QR-codes om malware te leveren

Cyberbeveiliging
Tax-Themed Email Attacks

Microsoft waarschuwt voor verschillende phishing-campagnes die belastinggerelateerde thema’s gebruiken om malware in te zetten en referenties te stelen.

“Deze campagnes gebruiken met name omleidingsmethoden zoals URL-tekorts en QR-codes in kwaadwillende bijlagen en misbruiken legitieme diensten zoals bestandshostingdiensten en bedrijfsprofielpagina’s om detectie te voorkomen,” zei Microsoft in een rapport dat wordt gedeeld met het Hacker News.

Een opmerkelijk aspect van deze campagnes is dat ze leiden tot phishing-pagina’s die worden geleverd via een phishing-as-a-service (PHAAS) -platform codenaam RacCoono365, een e-crime-platform dat voor het eerst aan het licht kwam begin december 2024.

Ook geleverd zijn externe toegang Trojans (ratten) zoals Remcos Rat, evenals andere malware- en post-exploitatie frameworks zoals LatRodectus, Ahkbot, Guloloder en Bruteratel C4 (BRC4).

Een dergelijke campagne die op 6 februari 2025 is gespot door de tech -gigant, wordt naar schatting honderden e -mails gestuurd die zich richten op de Verenigde Staten voorafgaand aan het belastingaangifte -seizoen dat probeerde BRC4 en LatroDectus te leveren. De activiteit is toegeschreven aan Storm-0249, een initiële toegangsmakelaar die eerder bekend was voor het distribueren van Bazaloader, Icedid, Bumblebee en Emotet.

De aanvallen omvatten het gebruik van PDF -bijlagen met een link die gebruikers omleidt naar een URL ingekort via Rebrandly, waardoor ze uiteindelijk naar een nep -docusign -pagina worden geleid met een optie om het document te bekijken of te downloaden.

“Toen gebruikers op de downloadknop op de bestemmingspagina klikten, hing de uitkomst af van de vraag of hun systeem- en IP -adres toegang kregen om toegang te krijgen tot de volgende fase op basis van filterregels opgezet door de dreigingsacteur,” zei Microsoft.

Als de toegang is toegestaan, wordt de gebruiker een JavaScript -bestand verzonden dat vervolgens een Microsoft Software Installer (MSI) voor BRC4 downloadt, die dient als een leiding voor het implementeren van latroDectus. Als het slachtoffer niet als een waardevol doelwit wordt beschouwd, krijgen ze een goedaardig PDF -document gestuurd van RoyalegroupNyc (.) Com.

Microsoft zei dat het ook een tweede campagne ontdekte tussen 12 en 28 februari 2025, waar phishing-e-mails met een belastingthema werden gestuurd naar meer dan 2.300 organisaties in de VS, met name gericht op engineering, IT en adviessectoren.

De e -mails hadden in dit geval geen inhoud in de berichtenlichaam, maar bevatten een PDF -bijlage met een QR -code die wees op een link geassocieerd met de RacCoono365 PHAA’s die Microsoft 365 -inlogpagina’s nabootst om gebruikers in te voeren om gebruikers in te voeren.

In een teken dat deze campagnes in verschillende vormen komen, zijn phishing-e-mails met belastingthema ook gemarkeerd als het propageren van andere malwarefamilies zoals Ahkbot en Guloader.

AHKBOT -infectieketens zijn gevonden om gebruikers te sturen naar sites die een kwaadaardig Microsoft Excel -bestand hosten dat, bij het openen en inschakelen van macro’s, downloadt en een MSI -bestand uitvoert om een ​​AutoHotkey -script te starten, die vervolgens een screenshotter -module downloadt om screenshots van de gecompromitteerde host te maken en ze te laten ontspannen naar een externe server.

De campagne van Guloloder is bedoeld om gebruikers te misleiden om op een URL te klikken die aanwezig is in een PDF -e -mailbijlage, wat resulteert in de download van een ZIP -bestand.

“Het zip -bestand bevat verschillende .lnk -bestanden die zijn ingesteld om belastingdocumenten na te bootsen. Indien gestart door de gebruiker, gebruikt het .lnk -bestand PowerShell om een ​​PDF en een .BAT -bestand te downloaden,” zei Microsoft. “Het .bat -bestand heeft op zijn beurt het uitvoerbare bestand van gulolozer gedownload, dat vervolgens Remcos heeft geïnstalleerd.”

De ontwikkeling komt weken nadat Microsoft een andere Storm-0249-campagne heeft gewaarschuwd die gebruikers omgeleide om websites te nep-Windows 11 Pro om een ​​bijgewerkte versie van LatRodectus Loader Malware te leveren via de Bruteratel Red-Teaming Tool.

“De dreigingsacteur heeft Facebook waarschijnlijk gebruikt om verkeer naar de nep Windows 11 Pro -downloadpagina’s te sturen, zoals we in meerdere gevallen Facebook -verwijzings -URL’s hebben waargenomen,” zei Microsoft in een reeks berichten op X.

“LatRodectus 1.9, de nieuwste evolutie van de malware voor het eerst waargenomen in februari 2025, heeft de geplande taak opnieuw geïntroduceerd voor persistentie en toegevoegde commando 23, waardoor de Windows -opdrachten via ‘CMD.EXE /C.’ werden uitgevoerd,

De openbaarmaking volgt ook een toename van campagnes die QR -codes gebruiken in phishing -documenten om kwaadaardige URL’s te verbergen als onderdeel van wijdverbreide aanvallen gericht op Europa en de VS, wat resulteert in diefstal van de referentie.

“Analyse van de URL’s die uit de QR -codes in deze campagnes zijn geëxtraheerd, blijkt dat aanvallers doorgaans voorkomen dat URL’s worden opgenomen die direct naar het phishing -domein wijzen,” zei Palo Alto Networks Unit 42 in een rapport. “In plaats daarvan gebruiken ze vaak URL -omleidingsmechanismen of exploiteren ze open omleidingen op legitieme websites.”

Deze bevindingen komen ook in de nasleep van verschillende phishing- en sociale engineeringcampagnes die de afgelopen weken zijn gemarkeerd –

  • Gebruik van de browser-in-the-browser (BITB) -techniek om schijnbaar realistische browserpop-ups te dienen die spelers van Counter-Strike 2 bedriegen om hun Steam-referenties in te voeren met het waarschijnlijke doel om de toegang tot deze rekeningen door te verkopen voor winst
  • Gebruik van informatie -staler malware om MailChimp -accounts te kaping, waardoor bedreigingsactoren e -mailberichten in bulk kunnen verzenden
  • Gebruik van SVG -bestanden om spamfilters te omzeilen en gebruikers om te leiden om Microsoft -inlogpagina’s te vervalsen
  • Gebruik van vertrouwde samenwerkingsdiensten zoals Adobe, Docusign, Dropbox, Canva en Zoho om veilige e -mailgateways (SEGS) te omzeilen en referenties te stelen
  • Gebruik van e -mails die muziekstreamingdiensten zoals Spotify en Apple Music spoofen met als doel referenties en betalingsinformatie te oogsten
  • Gebruik van nep -beveiligingswaarschuwingen met betrekking tot verdachte activiteiten op Windows en Apple Mac -apparaten op nepwebsites om gebruikers te misleiden om hun systeemreferenties te verstrekken
  • Gebruik van nepwebsites die Trojanized Windows -installateurs distribueren voor Deepseek, i4tools en YouDao Dictionary Desktop Edition die GH0ST RAT laten vallen
  • Gebruik van phishing-e-mails met factureringsthema gericht op Spaanse bedrijven om een ​​informatie-stealer met de naam DarkCloud te distribueren
  • Het gebruik van phishing -e -mails die zich voordoen als een Roemeense bank om een ​​informatie -stealer te implementeren, genaamd Masslogger, gericht op organisaties in Roemenië

Om de risico’s van deze aanvallen te verminderen, is het essentieel dat organisaties phishing-resistente authenticatiemethoden voor gebruikers gebruiken, browsers gebruiken die kwaadaardige websites kunnen blokkeren en netwerkbescherming mogelijk maken om te voorkomen dat applicaties of gebruikers toegang hebben tot kwaadwillende domeinen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google’s Pixel 10 Pro Fold kan de grootste fout van de Pixel 9 herhalen

AGI -aankomst kan ‘existentiële risico’s veroorzaken’, zegt Google Deepmind

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]