Microsoft memperingatkan beberapa kampanye phishing yang memanfaatkan tema terkait pajak untuk menggunakan malware dan mencuri kredensial.
“Kampanye ini terutama menggunakan metode pengalihan seperti pemendekan URL dan kode QR yang terkandung dalam lampiran berbahaya dan penyalahgunaan layanan sah seperti layanan hosting file dan halaman profil bisnis untuk menghindari deteksi,” kata Microsoft dalam laporan yang dibagikan dengan berita peretas.
Aspek penting dari kampanye ini adalah bahwa mereka mengarah ke halaman phishing yang dikirimkan melalui platform phishing-as-a-service (phAAS) dengan nama kode RacCoono365, platform E-Crime yang pertama kali terungkap pada awal Desember 2024.
Juga dikirimkan adalah Trojans akses jarak jauh (tikus) seperti RID RID, serta kerangka malware dan post-eksploitasi lainnya seperti Latrodectus, Ahkbot, Guloader, dan Bruteratel C4 (BRC4).
Salah satu kampanye yang terlihat oleh raksasa teknologi pada 6 Februari 2025, diperkirakan telah mengirim ratusan email yang menargetkan Amerika Serikat menjelang musim pengarsipan pajak yang berusaha mengirimkan BRC4 dan Latrodectus. Kegiatan ini telah dikaitkan dengan Storm-0249, broker akses awal yang sebelumnya dikenal karena mendistribusikan Bazaloader, ICEDID, Bumblebee, dan Emosi.
Serangan melibatkan penggunaan lampiran PDF yang berisi tautan yang mengarahkan pengguna ke URL yang diperpendek melalui rebrandly, pada akhirnya mengarahkan mereka ke halaman DocuSign palsu dengan opsi untuk melihat atau mengunduh dokumen.
“Ketika pengguna mengklik tombol unduh di halaman arahan, hasilnya tergantung pada apakah sistem dan alamat IP mereka diizinkan untuk mengakses tahap berikutnya berdasarkan aturan penyaringan yang diatur oleh aktor ancaman,” kata Microsoft.
Jika akses diizinkan, pengguna dikirim file JavaScript yang kemudian mengunduh Microsoft Software Installer (MSI) untuk BRC4, yang berfungsi sebagai saluran untuk menggunakan Latrodectus. Jika korban tidak dianggap sebagai target yang cukup berharga, mereka dikirim dokumen PDF jinak dari RoyalEgroupNYC[.]com.
Microsoft mengatakan juga mendeteksi kampanye kedua antara 12 dan 28 Februari 2025, di mana email phishing bertema pajak dikirim ke lebih dari 2.300 organisasi di AS, terutama yang ditujukan untuk teknik, IT, dan sektor konsultasi.
Email, dalam hal ini, tidak memiliki konten di badan pesan, tetapi menampilkan lampiran PDF yang berisi kode QR yang menunjuk ke tautan yang terkait dengan RacCoono365 PHAAS yang meniru Microsoft 365 halaman login untuk menipu pengguna agar memasukkan kredensial mereka.
Dalam tanda bahwa kampanye ini datang dalam berbagai bentuk, email phishing bertema pajak juga telah ditandai sebagai menyebarkan keluarga malware lain seperti Ahkbot dan Guloader.
Rantai infeksi ahkbot telah ditemukan untuk mengarahkan pengguna ke situs yang menampung file Microsoft Excel yang berbahaya yang, setelah membuka dan mengaktifkan makro, mengunduh dan menjalankan file MSI untuk meluncurkan skrip Autohotkey, yang kemudian mengunduh modul screenshotter untuk menangkap tangkapan layar dari host yang dikompromikan dan mengekspresikan mereka untuk mem -lemak.
Kampanye Guloader bertujuan untuk menipu pengguna agar mengklik URL yang ada dalam lampiran email PDF, yang menghasilkan unduhan file zip.
“File zip berisi berbagai file .lnk yang diatur untuk meniru dokumen pajak. Jika diluncurkan oleh pengguna, file .lnk menggunakan PowerShell untuk mengunduh PDF dan file .bat,” kata Microsoft. “File .bat pada gilirannya mengunduh Guloader Executable, yang kemudian menginstal REMCOS.”
Pengembangan datang berminggu-minggu setelah Microsoft memperingatkan kampanye Storm-0249 lainnya yang mengarahkan pengguna ke situs web palsu yang mengiklankan Windows 11 Pro untuk memberikan versi terbaru dari malware Latrodectus Loader melalui alat tim merah Bruteratel.
“Aktor ancaman kemungkinan menggunakan Facebook untuk mengarahkan lalu lintas ke halaman unduhan Windows 11 Pro palsu, karena kami mengamati URL Referrer Facebook dalam beberapa kasus,” kata Microsoft dalam serangkaian posting di X.
“Latrodectus 1.9, evolusi terbaru malware yang pertama kali diamati pada bulan Februari 2025, memperkenalkan kembali tugas yang dijadwalkan untuk kegigihan dan menambahkan perintah 23, memungkinkan eksekusi perintah Windows melalui 'cmd.exe /c.'”
Pengungkapan ini juga mengikuti lonjakan kampanye yang menggunakan kode QR dalam dokumen phishing untuk menyamarkan URL jahat sebagai bagian dari serangan luas yang ditujukan pada Eropa dan AS, yang mengakibatkan pencurian kredensial.
“Analisis URL yang diekstraksi dari kode QR dalam kampanye ini mengungkapkan bahwa penyerang biasanya menghindari termasuk URL yang secara langsung menunjuk ke domain phishing,” kata Palo Alto Networks Unit 42 dalam sebuah laporan. “Sebaliknya, mereka sering menggunakan mekanisme pengalihan URL atau mengeksploitasi pengalihan terbuka pada situs web yang sah.”
Temuan ini juga muncul setelah beberapa kampanye phishing dan rekayasa sosial yang telah ditandai dalam beberapa minggu terakhir –
- Penggunaan teknik browser-in-the-browser (BITB) untuk melayani pop-up browser yang tampaknya realistis yang menipu pemain Counter-Strike 2 untuk memasukkan kredensial uap mereka dengan tujuan yang mungkin untuk menjual kembali akses ke akun ini untuk mendapatkan keuntungan ini
- Penggunaan malware pencuri informasi untuk membajak akun MailChimp, mengizinkan aktor ancaman untuk mengirim pesan email secara curah
- Penggunaan file SVG untuk mem -bypass filter spam dan mengalihkan pengguna ke halaman login Microsoft palsu
- Penggunaan layanan kolaborasi tepercaya seperti Adobe, DocuSign, Dropbox, Canva, dan Zoho untuk menghindari gateway email aman (SEG) dan mencuri kredensial
- Penggunaan email spoofing layanan streaming musik seperti Spotify dan Apple Music dengan tujuan memanen kredensial dan informasi pembayaran
- Penggunaan peringatan keamanan palsu terkait dengan aktivitas mencurigakan di perangkat Windows dan Apple Mac di situs web palsu untuk menipu pengguna agar memberikan kredensial sistem mereka
- Penggunaan situs web palsu yang mendistribusikan installer windows trojanisasi untuk deepseek, i4tools, dan edisi desktop kamus yodao yang drop gh0st tikus
- Penggunaan email phishing bertema penagihan yang menargetkan perusahaan Spanyol untuk mendistribusikan pencuri informasi bernama DarkCloud
- Penggunaan email phishing menyamar sebagai bank Rumania untuk menggunakan pencuri informasi yang disebut organisasi penargetan masslogger yang berlokasi di Rumania
Untuk mengurangi risiko yang ditimbulkan oleh serangan ini, penting bahwa organisasi mengadopsi metode otentikasi tahan phishing untuk pengguna, menggunakan browser yang dapat memblokir situs web berbahaya, dan memungkinkan perlindungan jaringan untuk mencegah aplikasi atau pengguna mengakses domain berbahaya.
