Открыли письмо от налоговой? Поздравляем, ваш компьютер стал частью ботнета⁠⁠

Фишинговые атаки, приуроченные к налоговому сезону в США, активизировались: Microsoft зафиксировала масштабные рассылки вредоносных писем, использующих темы налоговой отчётности для кражи данных и установки вредоносного ПО.

Особенность этих кампаний — в использовании современных приёмов обхода фильтров и систем защиты: злоумышленники внедряют QR-коды, сокращатели ссылок, легитимные сервисы для хранения файлов и бизнес-профили, чтобы не вызывать подозрений у антивирусных систем и почтовых шлюзов.

Целью кампаний становятся корпоративные и частные пользователи, которых заманивают на поддельные страницы входа через фишинговую платформу RaccoonO365. Она используется для сбора учётных данных Microsoft 365, а также доставки вредоносных компонентов, таких как удалённые трояны Remcos, загрузчики GuLoader, AHKBot, Latrodectus и фреймворк BruteRatel C4, предназначенный для постэксплуатации и тестирования на проникновение.

Одна из атак, обнаруженная 6 февраля 2025 года, была ориентирована на американских пользователей и активно распространялась через PDF-файлы с ссылками, ведущими на поддельную страницу DocuSign. После перехода по ссылке происходила проверка системы и IP-адреса жертвы: если устройство считалось «перспективным», загружался JavaScript, который устанавливал вредоносный MSI-файл с BRc4 и последующей загрузкой Latrodectus. В иных случаях пользователь получал безвредный файл, что снижало риск раскрытия схемы.

Другая кампания, зафиксированная между 12 и 28 февраля, была ещё масштабнее: более 2300 организаций в сферах IT, инжиниринга и консалтинга стали жертвами рассылки с PDF-вложениями, содержащими QR-коды. Эти коды вели на фишинговые страницы RaccoonO365, маскирующиеся под интерфейс входа в Microsoft 365, тем самым вынуждая сотрудников вводить свои логины и пароли.

Фишинг-сценарии активно варьируются. В случае с AHKBot пользователю предлагался Excel-документ с макросами: после их активации начиналась цепочка загрузки, которая завершалась установкой скрипта AutoHotKey. Он выполнял захват скриншотов и передавал их на удалённый сервер. Кампания GuLoader использовала архивы ZIP с ярлыками, стилизованными под налоговые формы. При их открытии запускался PowerShell, инициировавший загрузку вредоносного кода и установку Remcos RAT.

Всё чаще злоумышленники применяют инструменты для обмана фильтров и обхода шлюзов безопасности: например, SVG-файлы для обхода антиспам-систем, поддельные окна браузеров (BitB), имитирующие интерфейсы входа, а также использование сервисов Adobe, Dropbox, Zoho и DocuSign для прикрытия зловредной активности.

Особое внимание исследователи уделили действиям группировки Storm-0249. Её недавние кампании включали перенаправление пользователей на фальшивые страницы загрузки Windows 11 Pro через рекламные объявления в Facebook, что приводило к установке Latrodectus. Обновлённая версия вредоносного ПО, зафиксированная в феврале, включила новые команды и способ закрепления в системе через задачи по расписанию.

На фоне усиления активности фишинговых атак всё чаще фиксируются случаи, когда злоумышленники действуют под прикрытием известных брендов: фейковые письма от имени Spotify, Apple Music, банков и сервисов обновления систем. Цель остаётся неизменной — получение доступа к учётным данным, установке шпионских компонентов и последующей монетизации полученной информации.

Для минимизации угроз Microsoft рекомендует использовать методы аутентификации, устойчивые к фишингу, применять браузеры с функцией блокировки вредоносных сайтов, а также активировать сетевую защиту, препятствующую подключению к вредоносным доменам.