A Microsoft emitiu um alerta sobre uma série de campanhas de phishing que usam temas relacionados a impostos para disseminar malwares e capturar credenciais de acesso. Esses ataques são realizados principalmente por e-mail, aproveitando o período de declaração do imposto de renda nos EUA para enganar as vítimas.
Os criminosos utilizam arquivos PDF e códigos QR para redirecionar os alvos a sites falsos e explorar plataformas legítimas de hospedagem de arquivos, dificultando a detecção. Também se valem de serviços de phishing como o RaccoonO365, detectado pela primeira vez em dezembro de 2024.
Entre os malwares distribuídos nessas campanhas estão Remcos RAT, Latrodectus, AHKBot, GuLoader e BruteRatel C4 (BRc4). Em uma das campanhas, identificada em 6 de fevereiro de 2025, o grupo Storm-0249 enviou centenas de e-mails falsos contendo PDFs com links encurtados que direcionavam a páginas falsas do DocuSign. Dependendo do perfil do alvo, os invasores entregavam arquivos maliciosos ou apenas PDFs inofensivos para manter a operação discreta.
Outra campanha, entre 12 e 28 de fevereiro, mirou mais de 2.300 empresas norte-americanas dos setores de engenharia, tecnologia e consultoria, com anexos PDF contendo códigos QR que levavam a falsos logins do Microsoft 365 hospedados pelo RaccoonO365.
Além disso, foram usadas outras técnicas de infecção, como planilhas Excel com macros para rodar scripts AutoHotKey (AHKBot), e arquivos ZIP com atalhos (.lnk) disfarçados de documentos fiscais, que instalavam o Remcos RAT.
A tendência crescente no uso de QR Codes e redirecionamentos por sites confiáveis vem dificultando a detecção desses ataques. Também foram observados truques recentes como pop-ups falsos, arquivos SVG que escapam de filtros de spam, e e-mails que se passam por serviços populares como Spotify e Apple Music.
Para se proteger, a Microsoft recomenda o uso de autenticação multifator resistente a phishing, navegadores com bloqueio de links perigosos e ferramentas de segurança de rede que impeçam acesso a domínios maliciosos.
