En una preocupante advertencia, Microsoft ha identificado una serie de ataques cibernéticos que están haciendo estragos en organizaciones estadounidenses, en un contexto especialmente vulnerable debido a la temporada de impuestos. Estos ataques, descritos como phishing avanzado, están utilizando archivos PDF, códigos QR y servicios legítimos para propagar malware de alta sofisticación, generando alarma en sectores críticos como consultoría, tecnología de la información e ingeniería.
El gigante tecnológico ha señalado que el grupo conocido como Storm-0249 está detrás de estas ofensivas. Utilizan una variedad de troyanos, incluyendo Latrodectus, Remcos RAT, GuLoader y BruteRatel C4, además de herramientas novedosas de post-explotación como AHKBot. Estos ataques tienen como objetivo el robo de credenciales, la instalación de puertas traseras y accesos silenciosos a redes corporativas, haciendo hincapié en la profesionalización y adaptación rápida del cibercrimen.
Un análisis detalla el uso de servicios Phishing-as-a-Service (PhaaS) como RaccoonO365, que facilita la generación de páginas de inicio de sesión falsas para captar las credenciales de Microsoft 365. Un ejemplo documentado a principios de febrero muestra cómo un archivo PDF lleva al usuario a un enlace acortado, conduciéndolo a una página falsa de DocuSign que, dependiendo del dispositivo y ubicación, descarga un archivo JavaScript para propagar el malware.
En una operación entre el 12 y el 28 de febrero, se distribuyeron más de 2.300 correos maliciosos que utilizaban PDFs sin cuerpo de texto, con códigos QR que engañaban a los destinatarios redirigiéndolos a sitios falsos de Microsoft 365. Este método de entrega ha sido particularmente efectivo en pasar desapercibido por los sistemas de seguridad tradicionales.
Las tácticas de los atacantes no se limitan a PDFs. También se han servido de archivos .lnk ocultos en ZIPs y macros en Excel para ejecutar scripts de AutoHotKey, que realizan capturas de pantalla y exfiltración de datos. Incluso se han observado enlaces ocultos en archivos SVG y URLs redirigidas a través de servicios como Rebrandly para evadir los filtros de seguridad convencionales.
La explotación de plataformas confiables como Adobe, DocuSign, Canva, Zoho y Dropbox, donde el uso de servicios de colaboración comúnmente aceptados permite que los correos maliciosos se filtren fácilmente por las puertas de enlace de correo electrónico, aumenta la complejidad del escenario. Además, Facebook ha sido utilizado como plataforma de redirección hacia páginas fraudulentas que distribuyen malware disfrazado de instaladores de Windows 11.
Para mitigar estas amenazas, Microsoft recomienda medidas de protección como implementar autenticación multifactor resistente al phishing, filtrar tráfico hacia dominios sospechosos y utilizar navegadores seguros. La capacitación continua para que los usuarios puedan reconocer intentos de suplantación se vuelve imperativa en este nuevo ecosistema donde el cibercrimen se está profesionalizando rápidamente, combinando ingeniería social con tácticas de distribución automatizada.
Estos ataques subrayan que la ciberseguridad corporativa no puede depender únicamente de filtros tradicionales. Un enfoque integral, que contemple la verificación y monitoreo de cada interacción digital, es crucial para defenderse de la creciente superposición entre plataformas legítimas y herramientas delictivas.
