Microsoft ha advertido sobre nuevas campañas que están aprovechando la próxima temporada de impuestos en EE.UU. para recolectar credenciales y distribuir malware.
Las campañas de correo electrónico aprovechan la urgencia y la urgencia de los correos electrónicos para enviar mensajes de phishing disfrazados de avisos de reembolso, formularios de nómina, recordatorios de presentación y solicitudes de profesionales de impuestos para engañar a los destinatarios para que abran archivos adjuntos maliciosos, escaneen códigos QR o interactúen con enlaces sospechosos.
«Muchas campañas se dirigen a personas para el robo de datos personales y financieros, pero otras se dirigen específicamente a contadores y otros profesionales que manejan documentos confidenciales, tienen acceso a datos financieros y están acostumbrados a recibir correos electrónicos relacionados con impuestos durante este período», dijeron los equipos de Microsoft Threat Intelligence y Microsoft Defender Security Research. dicho en un informe publicado la semana pasada.
Si bien algunos de estos esfuerzos dirigen a los usuarios a páginas incompletas diseñadas a través de plataformas de phishing como servicio (PhaaS), otros resultan en la implementación de herramientas legítimas de administración y monitoreo remoto (RMM), como ConnectWise ScreenConnect, Datto y SimpleHelp, que permiten a los atacantes obtener acceso persistente a los dispositivos comprometidos.
Los detalles de algunas de las campañas se encuentran a continuación:
- Uso de señuelos de contadores públicos certificados (CPA) para entregar páginas de phishing asociadas con el kit Energy365 PhaaS para capturar el correo electrónico y la contraseña de las víctimas. Se estima que el kit de phishing Energy365 envía cientos de miles de correos electrónicos maliciosos diariamente.
- Uso de códigos QR y señuelos W2 para dirigirse a aproximadamente 100 organizaciones, principalmente en las industrias de fabricación, venta minorista y atención médica ubicadas en los EE. UU., para dirigir a los usuarios a páginas de phishing que imitan las páginas de inicio de sesión de Microsoft 365 y creadas utilizando la plataforma PhaaS SneakyLog (también conocida como Kratos) para desviar sus credenciales y códigos de autenticación de dos factores (2FA).
- Usar dominios con temas fiscales para su uso en campañas de phishing que engañan a los usuarios para que hagan clic en enlaces falsos con el pretexto de acceder a formularios de impuestos actualizados, solo para distribuir ScreenConnect.
- Hacerse pasar por el Servicio de Impuestos Internos (IRS) con un señuelo de criptomonedas dirigido específicamente al sector de la educación superior en los EE. UU., indicando a los destinatarios que descargaran un «Formulario de impuestos sobre criptomonedas 1099» accediendo a un dominio malicioso («irs-doc[.]com» o «gov-irs216[.]net») para entregar ScreenConnect o SimpleHelp.
- Dirigido a contadores y organizaciones relacionadas, solicitando ayuda para declarar sus impuestos mediante el envío de un enlace malicioso que conduce a la instalación de Datto.
Microsoft dijo que también observó una campaña de phishing a gran escala el 10 de febrero de 2026, en la que más de 29.000 usuarios de 10.000 organizaciones se vieron afectados. Alrededor del 95% de los objetivos estaban ubicados en EE.UU., abarcando industrias como servicios financieros (19%), tecnología y software (18%) y comercio minorista y bienes de consumo (15%).
«Los correos electrónicos se hacían pasar por el IRS, alegando que se habían presentado declaraciones de impuestos potencialmente irregulares con el Número de identificación de presentación electrónica (EFIN) del destinatario. Los destinatarios recibieron instrucciones de revisar estas declaraciones descargando un 'Visor de transcripciones del IRS' supuestamente legítimo», dijo el gigante tecnológico.
Los correos electrónicos, que se enviaron a través de Amazon Simple Email Service (SES), contenían un botón «Descargar IRS Transcript View 5.1» que, al hacer clic, redirigía a los usuarios a smartvault.[.]im, un dominio que se hace pasar por SmartVault, una conocida plataforma de gestión e intercambio de documentos.
El sitio de phishing confió en Cloudflare para mantener a raya a los bots y los escáneres automatizados, garantizando así que solo los usuarios humanos reciban la carga útil principal: un ScreenConnect empaquetado maliciosamente que otorga a los atacantes acceso remoto a sus sistemas y facilita el robo de datos, la recolección de credenciales y otras actividades posteriores a la explotación.
Para mantenerse a salvo de estos ataques, se recomienda a las organizaciones que apliquen 2FA a todos los usuarios, implementen políticas de acceso condicional, monitoreen y escaneen los correos electrónicos entrantes y los sitios web visitados, y eviten que los usuarios accedan a dominios maliciosos.
El desarrollo coincide con el descubrimiento de varias campañas que arrojan malware de acceso remoto o realizan robo de datos.
- Usando páginas falsas de Google Meet y Zoom para atraer a los usuarios a videollamadas fraudulentas que, en última instancia, entregar software de acceso remoto como Teramind, una plataforma legítima de seguimiento de empleados, mediante una actualización de software falsa.
- Usando un sitio web fraudulento que aprovecha la marca Avast para engañar a los usuarios de habla francesa para que entreguen los datos completos de su tarjeta de crédito como parte de una estafa de reembolso.
- Usando un sitio web mal escrito haciéndose pasar por el portal oficial de descarga de Telegram («telegrgam[.]com») para distribuir instaladores troyanizados que, además de eliminar un instalador legítimo de Telegram, ejecutan una DLL responsable de lanzar una carga útil en la memoria. Luego, el malware inicia la comunicación con su infraestructura de comando y control para recibir instrucciones, descargar componentes actualizados y mantener un acceso persistente.
- Abusar Notificaciones de alerta de Microsoft Azure Monitor para enviar correos electrónicos de phishing con devolución de llamadas que utilizan facturas y señuelos de pagos no autorizados. «Los atacantes crean reglas de alerta maliciosas de Azure Monitor, incorporando contenido fraudulento en la descripción de la alerta, incluidos detalles de facturación falsos y números de teléfono de soporte controlados por el atacante», dijo LevelBlue. «Luego, las víctimas se agregan al grupo de acción vinculado a la regla de alerta, lo que hace que Azure envíe el mensaje de phishing desde la dirección del remitente legítimo azure-noreply@microsoft.com».
- Usando señuelos con temas de citas en correos electrónicos de phishing para entregar un cuentagotas de JavaScript que se conecta a un servidor externo para descargar un script de PowerShell, que inicia la aplicación confiable de Microsoft «Aspnet_compiler.exe» e inyecta en ella una carga útil XWorm 7.1 mediante una inyección de DLL reflectante. El malware actualizado viene con un componente desarrollado en .NET diseñado para brindar sigilo y persistencia. También se han utilizado solicitudes similares de cotización de señuelos para desencadenar una cadena de infección Remcos RAT sin archivos.
- Usar correos electrónicos de phishing y tácticas de ClickFix para entregar NetSupport rata y obtener acceso no autorizado al sistema, filtrar datos e implementar malware adicional.
- Usando URI de redireccionamiento de registro de aplicaciones de Microsoft («iniciar sesión.microsoftonline[.]com») en correos electrónicos de phishing para abusar de las relaciones de confianza y evitar los filtros de spam de correo electrónico para redirigir a los usuarios a sitios web de phishing que capturan las credenciales de las víctimas y los códigos 2FA.
- Abusar de lo legítimo Servicios de reescritura de URL de Avanan, Barracuda, Bitdefender, Cisco, INKY, Mimecast, Proofpoint, Sophos y Trend Micro para ocultar URL maliciosas en correos electrónicos de phishing evade la detección. «Los actores de amenazas han adoptado cada vez más la redirección encadenada de múltiples proveedores en sus campañas de phishing», dijo LevelBlue. «La actividad anterior normalmente dependía de un único servicio de reescritura, pero las campañas más nuevas acumulan múltiples capas de enlaces ya reescritos. Este anidamiento hace que sea significativamente más difícil para las plataformas de seguridad reconstruir la ruta de redireccionamiento completa e identificar el destino malicioso final».
- Usando archivos ZIP maliciosos haciéndose pasar por una amplia gama de software, incluidos generadores de imágenes de inteligencia artificial (IA), herramientas de cambio de voz, utilidades de negociación del mercado de valores, modificaciones de juegos, VPN y emuladores, para entregar Salat Stealer o MeshAgent, junto con un minero de criptomonedas. La campaña se ha dirigido específicamente a usuarios de EE. UU., Reino Unido, India, Brasil, Francia, Canadá y Australia.
- Usando señuelos de invitación digitales enviado a través de correos electrónicos de phishing para desviar a los usuarios a una página CAPTCHA falsa de Cloudflare que entrega un VBScript, que luego ejecuta código PowerShell para recuperar un cargador .NET evasivo denominado SILENTCONNECT desde Google Drive para eventualmente entregar ScreenConnect.
Los hallazgos se producen tras un aumento en la adopción de RMM por parte de los actores de amenazas, y el abuso de dichas herramientas aumentó un 277% año tras año, según un informe reciente publicado por Huntress.
«Como estas herramientas son utilizadas por departamentos de TI legítimos, normalmente se pasan por alto y se consideran 'confiables' en la mayoría de los entornos corporativos», dijeron los investigadores de Elastic Security Labs, Daniel Stepanic y Salim Bitam. «Las organizaciones deben permanecer alerta y auditar sus entornos para detectar el uso no autorizado de RMM».
