Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Campaña de phishing contra profesionales de la fiscalidad
25 de abril de 2023 - Equipo de RRPP de TuxCare
A medida que la temporada de impuestos en EE.UU. llega a su fin, Microsoft advierte que un nuevo esfuerzo de phishing está dirigido a empresas de contabilidad y preparadores de impuestos, plantando malware que permite a los hackers obtener acceso temprano a las redes empresariales.
Según Microsoft, la campaña lleva activa desde febrero y su objetivo es comprometer a empresas de contabilidad y preparación de impuestos mediante la difusión del troyano de acceso remoto (RAT) Remcos. Para ayudar a los profesionales fiscales a completar sus declaraciones, la campaña ha enviado correos electrónicos de phishing que aparentan ser de clientes que están entregando documentación.
Para escapar a la detección del software de seguridad, los correos electrónicos de phishing incluían URL de servicios de seguimiento de clics. Los destinatarios son dirigidos a un sitio de alojamiento de archivos donde pueden descargar un archivo ZIP que se hace pasar por archivos PDF de varios formularios fiscales. Sin embargo, estos archivos son accesos directos de Windows que, al activarse, inician PowerShell. A continuación, PowerShell descarga un archivo VBS fuertemente cifrado desde un host remoto, lo guarda en C:WindowsTasks y lo ejecuta.
El informe de Microsoft afirma que esta campaña es inusual, ya que sólo se dirige a empresas de preparación de impuestos y a particulares. "Los objetivos de esta amenaza son exclusivamente organizaciones que se ocupan de la preparación de impuestos, servicios financieros, CPA y empresas de contabilidad y empresas de servicios profesionales que se ocupan de la contabilidad y los impuestos".
Para evitar ser víctima de este tipo de campañas de phishing, Microsoft recomienda a los usuarios que activen la visualización de las extensiones de archivo en Windows para que puedan identificar los archivos sospechosos. Sin embargo, los accesos directos de Windows son un tipo de archivo especial que utiliza la extensión de archivo .lnk, pero no muestra la extensión de archivo cuando se muestra en el Explorador de archivos. Esto hace que detectar que un archivo es un acceso directo disfrazado sea más difícil. Si se muestran los archivos en el Explorador de archivos en el modo "Detalles", se mostrará que se trata de un acceso directo de Windows, lo que facilita su detección.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
