Microsoft advierte a las empresas de contabilidad y declaración de impuestos de un nuevo ataque de phishing antes del Día de los Impuestos de EE. UU.

Benjamin Franklin escribió una vez: “Las únicas dos certezas en la vida son la muerte y los impuestos”. Con el Día de los Impuestos de EE. UU. anual acercándose el martes 18 de abril, podríamos incluir una tercera certeza en esa lista: las estafas por Internet. Esta semana, la división de seguridad de Microsoft emitió una alerta sobre una nueva estafa de phishing dirigida a empresas de contabilidad y declaración de impuestos antes del Día de los impuestos.

La publicación del blog de Microsoft dice que la compañía notó las nuevas estafas en febrero. Están siendo enviados por piratas informáticos que esperan poder entregar el troyano de acceso remoto Remcos a una PC. Remcos está diseñado para ingresar a las PC con Windows y asumir los privilegios de administrador de forma remota. Microsoft dice:

Si bien los señuelos de ingeniería social como este son comunes en el Día de los Impuestos y otros eventos actuales de gran actualidad, estas campañas son específicas y están dirigidas de una manera poco común. Los objetivos de esta amenaza son exclusivamente organizaciones que se ocupan de la preparación de impuestos, servicios financieros, CPA y empresas de contabilidad, y empresas de servicios profesionales que se ocupan de la contabilidad y los impuestos.

Naturalmente, este tipo de empresas están muy ocupadas en esta época del año antes del Día de los Impuestos con clientes que les envían por correo electrónico información sobre sus impuestos e información financiera. Microsoft dice que esta campaña de phishing ha enviado correos electrónicos que parecen provenir de un cliente de una firma de contabilidad o impuestos. Contienen un enlace a un servicio real de intercambio de archivos, con un enlace real de seguimiento de clics de Amazon Web Services.

Desafortunadamente para la persona que hace clic en ese enlace, será llevada al sitio de intercambio de archivos, donde el hacker colocó archivos de acceso directo de Windows (.LNK). Microsoft dice:

Estos archivos LNK generan solicitudes web a dominios controlados por actores y/o direcciones IP para descargar archivos maliciosos. Estos archivos maliciosos luego realizan acciones en el dispositivo de destino y descargan la carga útil de Remcos, lo que proporciona al actor acceso potencial al dispositivo y la red de destino.

La buena noticia para los usuarios de PC con Windows que trabajan en esas firmas financieras es que Microsoft 365 Defender y Microsoft Defender Antivirus pueden detectar estos archivos maliciosos y evitar la toma remota de sus PC. Obviamente, esos usuarios siempre deben sospechar de cualquier correo electrónico que tenga enlaces a sitios para compartir archivos, especialmente de clientes que no conocen.