Microsoft ha recentemente avvisato di una serie di campagne di phishing che sfruttano temi fiscali per distribuire malware e rubare credenziali. Queste campagne utilizzano metodi di reindirizzamento come gli accorciatori di URL e i codici QR contenuti in allegati dannosi. Sfruttano servizi legittimi come i servizi di hosting di file e le pagine di profilo aziendale per evitare il rilevamento.

RaccoonO365 e altre minacce

Un aspetto distintivo di queste campagne è che portano a pagine di phishing consegnate tramite una piattaforma di phishing-as-a-service (PhaaS) chiamata RaccoonO365. Questa piattaforma è emersa per la prima volta all'inizio di dicembre 2024. Vengono distribuiti anche trojan di accesso remoto (RAT) come Remcos RAT e altri malware e framework post-sfruttamento come Latrodectus, AHKBot, GuLoader e BruteRatel C4.

Dettagli della campagna di febbraio 2025

Una campagna specifica, individuata il 6 febbraio 2025, ha inviato centinaia di email negli Stati Uniti prima della stagione di presentazione delle dichiarazioni fiscali, cercando di distribuire BRc4 e Latrodectus. L'attività è stata attribuita a Storm-0249, un broker di accesso iniziale noto per distribuire BazaLoader, IcedID, Bumblebee ed Emotet.

Meccanismo degli attacchi

Gli attacchi prevedono l'uso di allegati PDF contenenti un link che reindirizza gli utenti a un URL accorciato via Rebrandly, portandoli infine a una falsa pagina Docusign con un'opzione per visualizzare o scaricare il documento. Se un utente clicca sul pulsante di download, il risultato dipende dal fatto che il suo sistema e indirizzo IP siano autorizzati a proseguire secondo le regole di filtro impostate dall'attore della minaccia.

Se l'accesso è consentito, l'utente riceve un file JavaScript che scarica successivamente un Microsoft Software Installer (MSI) per BRc4, che funge da condotto per distribuire Latrodectus. Se la vittima non è considerata un bersaglio abbastanza prezioso, viene inviato un documento PDF innocuo da un dominio falso.

Seconda campagna e altre minacce

Microsoft ha rilevato anche una seconda campagna tra il 12 e il 28 febbraio 2025, in cui email di phishing a tema fiscale sono state inviate a oltre 2.300 organizzazioni negli Stati Uniti, particolarmente mirate ai settori dell'ingegneria, IT e consulenza. Le email, in questo caso, non avevano contenuto nel corpo del messaggio, ma presentavano un allegato PDF contenente un codice QR che puntava a un link associato a RaccoonO365 PhaaS che imita le pagine di accesso di Microsoft 365 per ingannare gli utenti nel fornire le proprie credenziali.

Queste campagne sono state segnalate per propagare anche altre famiglie di malware come AHKBot e GuLoader. Le catene di infezione di AHKBot sono state trovate a indirizzare gli utenti verso siti che ospitano file Excel dannosi, mentre la campagna GuLoader mira a ingannare gli utenti affinché clicchino su un URL presente in un allegato email PDF, risultando nel download di un file ZIP contenente file .lnk progettati per mimare documenti fiscali.