Налоговый сезон — лучшее время для интернет-мошенников.
Фишинговые атаки, приуроченные к налоговому сезону в США, активизировались: Microsoft зафиксировала масштабные рассылки вредоносных писем, использующих темы налоговой отчетности для кражи данных и установки вредоносного ПО.
Особенность этих кампаний — в использовании современных приемов обхода фильтров и систем защиты: злоумышленники внедряют QR-коды, сокращатели ссылок, легитимные сервисы для хранения файлов и бизнес-профили, чтобы не вызывать подозрений у антивирусных систем и почтовых шлюзов.
Целью кампаний становятся корпоративные и частные пользователи, которых заманивают на поддельные страницы входа через фишинговую платформу RaccoonO365. Она используется для сбора учетных данных Microsoft 365, а также доставки вредоносных компонентов, таких как удаленные трояны Remcos, загрузчики GuLoader, AHKBot, Latrodectus и фреймворк BruteRatel C4, предназначенный для постэксплуатации и тестирования на проникновение.
Одна из атак, обнаруженная 6 февраля 2025 года, была ориентирована на американских пользователей и активно распространялась через PDF-файлы с ссылками, ведущими на поддельную страницу DocuSign. После перехода по ссылке происходила проверка системы и IP-адреса жертвы: если устройство считалось «перспективным», загружался JavaScript, который устанавливал вредоносный MSI-файл с BRc4 и последующей загрузкой Latrodectus. В иных случаях пользователь получал безвредный файл, что снижало риск раскрытия схемы.
Другая кампания, зафиксированная между 12 и 28 февраля, была еще масштабнее: более 2300 организаций в сферах IT, инжиниринга и консалтинга стали жертвами рассылки с PDF-вложениями, содержащими QR-коды. Эти коды вели на фишинговые страницы RaccoonO365, маскирующиеся под интерфейс входа в Microsoft 365, тем самым вынуждая сотрудников вводить свои логины и пароли.
Фишинг-сценарии активно варьируются. В случае с AHKBot пользователю предлагался Excel-документ с макросами: после их активации начиналась цепочка загрузки, которая завершалась установкой скрипта AutoHotKey. Он выполнял захват скриншотов и передавал их на удалённый сервер. Кампания GuLoader использовала архивы ZIP с ярлыками, стилизованными под налоговые формы. При их открытии запускался PowerShell, инициировавший загрузку вредоносного кода и установку Remcos RAT.
Все чаще злоумышленники применяют инструменты для обмана фильтров и обхода шлюзов безопасности: например, SVG-файлы для обхода антиспам-систем, поддельные окна браузеров (BitB), имитирующие интерфейсы входа, а также использование сервисов Adobe, Dropbox, Zoho и DocuSign для прикрытия зловредной активности.
Особое внимание исследователи уделили действиям группировки Storm-0249. Ее недавние кампании включали перенаправление пользователей на фальшивые страницы загрузки Windows 11 Pro через рекламные объявления в Facebook, что приводило к установке Latrodectus. Обновленная версия вредоносного ПО, зафиксированная в феврале, включила новые команды и способ закрепления в системе через задачи по расписанию.
На фоне усиления активности фишинговых атак чаще фиксируются случаи, когда злоумышленники действуют под прикрытием известных брендов: фейковые письма от имени Spotify, Apple Music, банков и сервисов обновления систем. Цель остается неизменной — получение доступа к учетным данным, установке шпионских компонентов и последующей монетизации полученной информации.
Для минимизации угроз Microsoft рекомендует использовать методы аутентификации, устойчивые к фишингу, применять браузеры с функцией блокировки вредоносных сайтов, а также активировать сетевую защиту, препятствующую подключению к вредоносным доменам.