⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft alertou sobre novas campanhas que estão aproveitando a próxima temporada fiscal nos EUA para coletar credenciais e distribuir malware.
As campanhas de e-mail aproveitam a urgência e a natureza urgente dos e-mails para enviar mensagens de phishing disfarçadas de avisos de reembolso, formulários de folha de pagamento, preenchimento de lembretes e solicitações de profissionais fiscais para enganar os destinatários para que abram anexos maliciosos, leiam códigos QR ou interajam com links suspeitos.
“Muitas campanhas têm como alvo indivíduos para roubo de dados pessoais e financeiros, mas outras visam especificamente contadores e outros profissionais que lidam com documentos confidenciais, têm acesso a dados financeiros e estão acostumados a receber e-mails relacionados a impostos durante este período”, disseram as equipes Microsoft Threat Intelligence e Microsoft Defender Security Research em um relatório publicado na semana passada.
Embora alguns desses esforços direcionem os usuários para páginas incompletas projetadas por meio de plataformas de phishing como serviço (PhaaS), outros resultam na implantação de ferramentas legítimas de monitoramento e gerenciamento remoto (RMMs), como ConnectWise ScreenConnect, Datto e SimpleHelp, permitindo que os invasores obtenham acesso persistente aos dispositivos comprometidos.
Os detalhes de algumas das campanhas estão abaixo -
Usando iscas de Contador Público Certificado (CPA) para entregar páginas de phishing associadas ao kit Energy365 PhaaS para capturar e-mail e senha das vítimas. Estima-se que o kit de phishing Energy365 envie centenas de milhares de e-mails maliciosos diariamente.
Usando código QR e iscas W2 para atingir aproximadamente 100 organizações, principalmente nos setores de manufatura, varejo e saúde localizados nos EUA, para direcionar os usuários a páginas de phishing que imitam as páginas de login do Microsoft 365 e construídas usando a plataforma SneakyLog (também conhecida como Kratos) PhaaS para desviar suas credenciais e códigos de autenticação de dois fatores (2FA).
Uso de domínios com tema fiscal para uso em campanhas de phishing que induzem os usuários a clicar em links falsos sob o pretexto de acessar formulários fiscais atualizados, apenas para distribuir o ScreenConnect.
Representando o Internal Revenue Service (IRS) com uma isca de criptomoeda que visava especificamente o setor de ensino superior nos EUA, instruindo os destinatários a baixar um "Formulário Fiscal de Criptomoeda 1099" acessando um domínio malicioso ("irs-doc[.]com" ou "gov-irs216[.]net") para entregar ScreenConnect ou SimpleHelp.
Visando contadores e organizações relacionadas, pedindo ajuda para declarar seus impostos, enviando um link malicioso que leva à instalação do Datto.
A Microsoft disse que também observou uma campanha de phishing em grande escala em 10 de fevereiro de 2026, na qual mais de 29 mil usuários em 10 mil organizações foram afetados. Cerca de 95% dos alvos estavam localizados nos EUA, abrangendo setores como serviços financeiros (19%), tecnologia e software (18%) e varejo e bens de consumo (15%).
“Os e-mails se faziam passar pelo IRS, alegando que declarações fiscais potencialmente irregulares haviam sido apresentadas sob o Número de Identificação de Arquivamento Eletrônico (EFIN) do destinatário. Os destinatários foram instruídos a revisar essas declarações baixando um ‘Visualizador de Transcrição do IRS’ supostamente legítimo”, disse a gigante da tecnologia.
Os e-mails, que foram enviados através do Amazon Simple Email Service (SES), continham um botão “Baixar IRS Transcript View 5.1” que, quando clicado, redirecionava os usuários para smartvault[.]im, um domínio disfarçado de SmartVault, uma conhecida plataforma de gerenciamento e compartilhamento de documentos.
O site de phishing dependia da Cloudflare para manter os bots e os scanners automatizados afastados, garantindo assim que apenas os usuários humanos recebessem a carga principal: um ScreenConnect empacotado com códigos maliciosos que concede aos invasores acesso remoto aos seus sistemas e facilita o roubo de dados, a coleta de credenciais e outras atividades pós-exploração.
Para se manterem seguras contra esses ataques, recomenda-se que as organizações apliquem 2FA a todos os usuários, implementem políticas de acesso condicional, monitorem e verifiquem e-mails recebidos e sites visitados e evitem que os usuários acessem domínios maliciosos.
O desenvolvimento coincide com a descoberta de várias campanhas que descartam malware de acesso remoto ou conduzem roubo de dados -
Usar páginas falsas do Google Meet e Zoom para atrair usuários para videochamadas fraudulentas que, em última análise, fornecem software de acesso remoto como o Teramind, uma plataforma legítima de monitoramento de funcionários, por meio de uma atualização de software falsa.
Usar um site fraudulento que aproveita a marca Avast para enganar usuários que falam francês e fazê-los fornecer os dados completos do cartão de crédito como parte de um esquema de reembolso.
Usar um site typosquatted que se faz passar pelo portal oficial de download do Telegram ("telegrgam[.]com") para distribuir instaladores trojanizados que, além de descartar um instalador legítimo do Telegram, executam uma DLL responsável por lau
As campanhas de e-mail aproveitam a urgência e a natureza urgente dos e-mails para enviar mensagens de phishing disfarçadas de avisos de reembolso, formulários de folha de pagamento, preenchimento de lembretes e solicitações de profissionais fiscais para enganar os destinatários para que abram anexos maliciosos, leiam códigos QR ou interajam com links suspeitos.
“Muitas campanhas têm como alvo indivíduos para roubo de dados pessoais e financeiros, mas outras visam especificamente contadores e outros profissionais que lidam com documentos confidenciais, têm acesso a dados financeiros e estão acostumados a receber e-mails relacionados a impostos durante este período”, disseram as equipes Microsoft Threat Intelligence e Microsoft Defender Security Research em um relatório publicado na semana passada.
Embora alguns desses esforços direcionem os usuários para páginas incompletas projetadas por meio de plataformas de phishing como serviço (PhaaS), outros resultam na implantação de ferramentas legítimas de monitoramento e gerenciamento remoto (RMMs), como ConnectWise ScreenConnect, Datto e SimpleHelp, permitindo que os invasores obtenham acesso persistente aos dispositivos comprometidos.
Os detalhes de algumas das campanhas estão abaixo -
Usando iscas de Contador Público Certificado (CPA) para entregar páginas de phishing associadas ao kit Energy365 PhaaS para capturar e-mail e senha das vítimas. Estima-se que o kit de phishing Energy365 envie centenas de milhares de e-mails maliciosos diariamente.
Usando código QR e iscas W2 para atingir aproximadamente 100 organizações, principalmente nos setores de manufatura, varejo e saúde localizados nos EUA, para direcionar os usuários a páginas de phishing que imitam as páginas de login do Microsoft 365 e construídas usando a plataforma SneakyLog (também conhecida como Kratos) PhaaS para desviar suas credenciais e códigos de autenticação de dois fatores (2FA).
Uso de domínios com tema fiscal para uso em campanhas de phishing que induzem os usuários a clicar em links falsos sob o pretexto de acessar formulários fiscais atualizados, apenas para distribuir o ScreenConnect.
Representando o Internal Revenue Service (IRS) com uma isca de criptomoeda que visava especificamente o setor de ensino superior nos EUA, instruindo os destinatários a baixar um "Formulário Fiscal de Criptomoeda 1099" acessando um domínio malicioso ("irs-doc[.]com" ou "gov-irs216[.]net") para entregar ScreenConnect ou SimpleHelp.
Visando contadores e organizações relacionadas, pedindo ajuda para declarar seus impostos, enviando um link malicioso que leva à instalação do Datto.
A Microsoft disse que também observou uma campanha de phishing em grande escala em 10 de fevereiro de 2026, na qual mais de 29 mil usuários em 10 mil organizações foram afetados. Cerca de 95% dos alvos estavam localizados nos EUA, abrangendo setores como serviços financeiros (19%), tecnologia e software (18%) e varejo e bens de consumo (15%).
“Os e-mails se faziam passar pelo IRS, alegando que declarações fiscais potencialmente irregulares haviam sido apresentadas sob o Número de Identificação de Arquivamento Eletrônico (EFIN) do destinatário. Os destinatários foram instruídos a revisar essas declarações baixando um ‘Visualizador de Transcrição do IRS’ supostamente legítimo”, disse a gigante da tecnologia.
Os e-mails, que foram enviados através do Amazon Simple Email Service (SES), continham um botão “Baixar IRS Transcript View 5.1” que, quando clicado, redirecionava os usuários para smartvault[.]im, um domínio disfarçado de SmartVault, uma conhecida plataforma de gerenciamento e compartilhamento de documentos.
O site de phishing dependia da Cloudflare para manter os bots e os scanners automatizados afastados, garantindo assim que apenas os usuários humanos recebessem a carga principal: um ScreenConnect empacotado com códigos maliciosos que concede aos invasores acesso remoto aos seus sistemas e facilita o roubo de dados, a coleta de credenciais e outras atividades pós-exploração.
Para se manterem seguras contra esses ataques, recomenda-se que as organizações apliquem 2FA a todos os usuários, implementem políticas de acesso condicional, monitorem e verifiquem e-mails recebidos e sites visitados e evitem que os usuários acessem domínios maliciosos.
O desenvolvimento coincide com a descoberta de várias campanhas que descartam malware de acesso remoto ou conduzem roubo de dados -
Usar páginas falsas do Google Meet e Zoom para atrair usuários para videochamadas fraudulentas que, em última análise, fornecem software de acesso remoto como o Teramind, uma plataforma legítima de monitoramento de funcionários, por meio de uma atualização de software falsa.
Usar um site fraudulento que aproveita a marca Avast para enganar usuários que falam francês e fazê-los fornecer os dados completos do cartão de crédito como parte de um esquema de reembolso.
Usar um site typosquatted que se faz passar pelo portal oficial de download do Telegram ("telegrgam[.]com") para distribuir instaladores trojanizados que, além de descartar um instalador legítimo do Telegram, executam uma DLL responsável por lau
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #microsoft #alerta #que #phishing #do #irs #atinge #29.000 #usuários #e #implanta #malware #rmm
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário