A Microsoft emitiu um alerta sobre um novo método de ataque cibernético que utiliza e-mails fraudulentos com temas tributários para disseminar malware e roubar credenciais. Essas campanhas, que exploram a pressão da temporada de declaração de impostos, usam técnicas avançadas de redirecionamento para enganar os destinatários e evitar detecção por filtros de segurança.
Como funcionam os ataques
Os cibercriminosos estão se aproveitando de serviços de hospedagem de arquivos e páginas comerciais para distribuir links maliciosos. Os e-mails incluem anexos em formato PDF com códigos QR ou links encurtados que levam a páginas falsas de login da Microsoft 365 e de outras plataformas, com o objetivo de induzir as vítimas a inserir suas credenciais.
De acordo com a Microsoft, esses golpes são impulsionados por uma plataforma de phishing como serviço (PhaaS) chamada RaccoonO365, que surgiu em dezembro de 2024. Além do roubo de credenciais, esses ataques estão distribuindo trojans de acesso remoto (RATs), como o Remcos RAT, e outras ferramentas maliciosas, incluindo Latrodectus, AHKBot, GuLoader e BruteRatel C4 (BRc4).
Principais campanhas identificadas
A Microsoft detectou duas campanhas de phishing significativas em fevereiro de 2025:
- Ataque direcionado aos EUA:
- Em 6 de fevereiro, hackers enviaram centenas de e-mails nos EUA antes da temporada de impostos.
- O golpe utilizava anexos em PDF com links para páginas falsas do Docusign.
- Se a vítima fosse considerada um alvo valioso, um script JavaScript era acionado para baixar malware.
- Ataque contra 2.300 organizações:
- Entre 12 e 28 de fevereiro, um ataque atingiu setores de engenharia, TI e consultoria.
- Os e-mails não continham texto no corpo, apenas um PDF com um código QR direcionando para uma página falsa da Microsoft 365.
Outras variantes desses ataques incluem a propagação do AHKBot, que infecta usuários por meio de arquivos Excel maliciosos, e do GuLoader, que engana vítimas para baixar arquivos ZIP contendo atalhos (.lnk) projetados para executar comandos no sistema.
Evolução dos ataques cibernéticos
Os ataques envolvendo códigos QR têm se tornado cada vez mais sofisticados, segundo um relatório da Palo Alto Networks. Criminosos estão utilizando técnicas de redirecionamento de URL para ocultar seus domínios maliciosos, tornando mais difícil a detecção por sistemas de segurança.
Adicionalmente, a Microsoft identificou outros golpes em andamento, incluindo:
- Uso de pop-ups falsos para roubar credenciais de jogadores de Counter-Strike 2.
- Sequestro de contas do MailChimp para envio de e-mails fraudulentos em massa.
- Exploração de serviços confiáveis, como Adobe, DocuSign e Dropbox, para evitar bloqueios por filtros de segurança.
- Golpes imitando serviços de streaming, como Spotify e Apple Music, para roubo de dados bancários.
Como se proteger
Para minimizar os riscos associados a esses ataques, especialistas recomendam:
- Implementar métodos de autenticação resistentes a phishing, como a autenticação multifator (MFA).
- Utilizar navegadores seguros com bloqueio de sites maliciosos.
- Configurar proteção de rede para impedir conexões com domínios suspeitos.
- Orientar usuários a não escanear códigos QR desconhecidos ou abrir anexos de remetentes não confiáveis.
Diante do aumento desses ataques sofisticados, empresas e indivíduos precisam estar atentos a técnicas de phishing e fortalecer suas estratégias de segurança digital.