La temporada de impuestos en los Estados Unidos está casi sobre nosotros una vez más, lo que solo puede significar una cosa: los piratas informáticos se harán pasar por el Servicio de Impuestos Internos (IRS) en un intento de robar dinero e información confidencial de empresas de todas las formas y tamaños.
Investigadores de seguridad cibernética de dos compañías, Palo Alto Networks y Malwarebytes, descubrieron dos campañas de phishing maliciosas que hacen precisamente eso, pero con enfoques algo diferentes.
En una campaña, los atacantes se harían pasar por el IRS y compartirían un formulario de impuestos W-9 falso. (se abre en una pestaña nueva) vía correo electrónico. El formulario de fax es en realidad el malware Emotet, capaz de robar datos confidenciales de los puntos finales infectados y usarlos para distribuirse aún más. Emotet también puede servir como cuentagotas, lo que permite a los actores de amenazas distribuir diferentes tipos de malware, incluido el ransomware.
Archivos de Word y OneNote
En esta campaña, los atacantes enviaban un documento de Word cargado de malware, inflado a más de 500 MB para evitar activar los programas antivirus. Sin embargo, dado que Microsoft bloqueó las macros de los archivos de Office descargados de Internet, es probable que esta campaña no tenga tanto éxito.
La segunda campaña es diferente en el hecho de que en lugar de archivos de Word, estos atacantes distribuyen archivos de OneNote con complementos maliciosos.
Estos aún no se han bloqueado por completo cuando se descargan de Internet, por lo que la tasa de éxito probablemente sea algo mayor. En esta campaña, los atacantes compartirían un cuaderno (un archivo de OneNote) que está “protegido” (parece estar borroso) y requiere que el usuario haga clic en “Desbloquear” o “Ver” o un llamado a la acción similar. Sin embargo, lo que realmente estarían haciendo es activar el complemento, que descargaría el malware Emotet.
La segunda gran diferencia es que estos archivos no provendrían del IRS falso, sino de socios, clientes o negocios falsos con los que las víctimas interactúan.
Por lo general, los formularios de impuestos se distribuyen como un archivo .PDF y no como un archivo .DOCX, que es probablemente la mejor manera de detectar un ataque cibernético. Además, OneNote no es exactamente la herramienta de productividad más popular que existe, por lo que obtener un archivo de NoteBook debería ser una señal de alerta desde el principio.
Vía: Bleeping Computer (se abre en una pestaña nueva)