مایکروسافت از شناسایی مجموعهای از حملات فیشینگ با موضوع مالیات خبر داده است که هدف آن سرقت اطلاعات کاربران آمریکایی و آلودهسازی سیستمهای رایانهای به بدافزار است. حملات یاد شده به گروهی با نام Storm-0249 منتسب شدهاند.
به گفته مایکروسافت، مهاجمان در این کارزارها از روشهایی مانند کوتاهکنندههای لینک، کدهای کیوآر تعبیه شده در فایلهای پیدیاف و همچنین سوءاستفاده از سرویسهای میزبانی فایل برای دور زدن سامانههای امنیتی استفاده کردهاند.
در این حملات، کاربران به واسطه لینکهای مخرب به صفحاتی هدایت میشوند که از طریق ابزارهای «فیشینگ بهعنوان سرویس» ساخته شدهاند. یکی از این ابزارها RaccoonO365 نام دارد. این پلتفرم نخستین بار در دسامبر ۲۰۲۴ شناسایی شد.
مایکروسافت همچنین از شناسایی بدافزارهایی مانند Latrodectus، AHKBot، GuLoader و BruteRatel C4 در این کارزارها خبر داده است. این بدافزارها برای دسترسی از راه دور، جمعآوری دادهها و اجرای دستورات روی دستگاه قربانی مورد استفاده قرار میگیرند.
در یکی از این حملات که در ۶ فوریه ۲۰۲۵ رصد شد، صدها ایمیل در آستانه فصل مالیاتی به کاربران آمریکایی ارسال شد. این ایمیلها حاوی فایل پیدیاف بودند که کاربران را به صفحهای جعلی از سرویس «داکیوساین» (Docusign) هدایت میکردند.
اگر سیستم کاربر به هکرها اجازه نفوذ میداد، یک فایل MSI حاوی BRc4 برای نصب بدافزار Latrodectus به رایانه او منتقل میشد.
در حملهای دیگر بین بازه ۱۲ تا ۲۸ فوریه، بیش از ۲۳۰۰ سازمان آمریکایی در حوزههای مهندسی، فناوری اطلاعات و مشاوره هدف قرار گرفتند. در این مورد، فایل پیوست پیدیاف تنها یک کد کیوآر داشت که پس از اسکن، کاربر را به صفحه ورود جعلی سرویس «مایکروسافت ۳۶۵» هدایت میکرد.
گروه Storm-0249 پیش از این بدافزارهایی همچون BazaLoader، IcedID، Bumblebee و Emotet را منتشر کرده بود.
مایکروسافت توصیه کرده است برای کاهش ریسک این حملات، سازمانها از روشهای احراز هویت مقاوم در برابر فیشینگ استفاده کنند، قابلیت مسدودسازی سایتهای مخرب را در مرورگرهای خود فعال نمایند و شبکه خود را برای جلوگیری از دسترسی به دامنههای مشکوک ایمن کنند.
توضیحات بیشتر:
Threat actors leverage tax season to deploy tax-themed phishing campaigns