Estafas de Phishing Dirigidas a Contribuyentes de EE. UU. con Malware de Acceso Remoto

Los EE. UU. están actualmente al final de su período de tributación anual; los contadores están recopilando los documentos fiscales de los clientes para terminar los archivos de las declaraciones de impuestos.

Bueno, esto lo convierte en el momento perfecto para que los actores de amenazas apunten a los contribuyentes, con la esperanza de que abran los archivos maliciosos con los que normalmente podrían ser más cautelosos cuando están menos ocupados.

Dicho esto, Microsoft ha estado emitiendo advertencias sobre el ataque de phishing, que tiene como objetivo a los contribuyentes y a las empresas contables con malware de Acceso Remoto que permite a los actores de amenazas obtener acceso inicial a la red corporativa.

A medida que se acerca el día de presentación de impuestos en EE. UU., Microsoft ha estado emitiendo advertencias, y la compañía, en su último informe, menciona que ha observado el regreso de los ataques de phishing dirigidos a empresas de impuestos y contribuyentes para entregar el troyano de acceso remoto Ramcos (RAT) que infecta redes corporativas que comenzó este febrero.

Leer: Investigadores de Seguridad de Checkpoint Descubren Ransomware Rápido ‘Rorschach’ con Características Únicas

Ahora, sobre el ataque de phishing; la actividad comienza con correos electrónicos que se hacen pasar por clientes que han enviado los archivos requeridos para completar la declaración de impuestos. Un correo electrónico de phishing que Microsoft vio dice: “Me disculpo por no responder antes; nuestra declaración de impuestos individual debería ser simple y no requerir mucho de su tiempo.”

“Creo que necesitarías una copia de los documentos de nuestro año más reciente, como W-2s, 1099s, intereses, hipotecas, donaciones, HSAs, inversiones médicas y más que he subido a continuación”.

Estos correos electrónicos de phishing tienen enlaces que los usuarios hacen clic en servicios de seguimiento para evitar ser detectados por el software de seguridad y finalmente llevan a un sitio web de alojamiento de archivos que descarga un archivo ZIP.

El archivo Zip tiene varios archivos que se disfrazan como archivos PDF para varios foros fiscales, aunque son accesos directos de Windows.

Cuando el objetivo hace doble clic en ellos, el acceso directo de Windows ejecutará un PowerShell, un archivo VBS muy ofuscado desde un host remoto, que luego se guarda en C:\Windows\Tasks y se ejecuta, y simultáneamente el archivo VBS descargará un archivo PDF de señuelo para abrirlo en Microsoft Edge para evitar causar sospechas a la persona objetivo.

Según Microsoft, el archivo VBS descargará y ejecutará el malware Guloader, instalando el troyano de acceso remoto Ramcos. Bueno, el troyano Ramcos es un troyano que los actores de amenazas utilizan comúnmente en ataques de phishing para obtener acceso inicial.

Al obtener acceso, los atacantes de amenazas se propagan más a través de la red para robar datos e instalar otro malware en el dispositivo. Microsoft dice que estas actividades de phishing generalmente utilizan temas relacionados con impuestos, aunque inusualmente, esta campaña solo apunta a individuos y empresas de impuestos.

El cargador inicial para esta actividad son archivos maliciosos que se hacen pasar por archivos PDF, por lo que siempre se recomienda mostrar la extensión del archivo. Desafortunadamente, los accesos directos de Windows son el tipo de archivo especial que utiliza la extensión de archivo de enlace pero no muestra la extensión del archivo.

Esto es lo que hace que sea difícil detectar los archivos. Un acceso directo es un disfraz que es más difícil. Sin embargo, listar archivos en el Explorador de Archivos en Detalles mostrará el Acceso Directo de Windows, facilitando su detección.

Leer: Atacantes Enviando Correos Electrónicos de Phishing del IRS para Instalar Malware Emotett