En un reciente comunicado de Microsoft, el gigante tecnológico emitió una advertencia de ciberseguridad destinada a organizaciones estadounidenses, especialmente durante la temporada de impuestos, cuando los intentos de fraude tienden a incrementarse. La compañía ha detectado una serie de campañas de phishing que aprovechan formatos tecnológicos populares y confiables, combinando archivos PDF, códigos QR y plataformas legítimas para propagar malware altamente sofisticado. Los ataques están diseñados para robar credenciales y facilitar la penetración oculta en redes empresariales.
Detrás de estos ataques se encuentra el grupo Storm-0249, conocido por utilizar troyanos como Latrodectus, Remcos RAT, BruteRatel C4, y nuevas herramientas de post-explotación como AHKBot. Estas amenazas se extienden mediante servicios PhaaS (Phishing-as-a-Service), permitiendo la creación de sitios web fraudulentos que simulan entornos de inicio de sesión de Microsoft 365 para engañar a los usuarios y obtener sus credenciales.
Un caso documentado por Microsoft el 6 de febrero de 2025 revela una cadena de infección que inicia con un archivo PDF, que redirige al usuario a una URL acortada y posteriormente a una página falsa de DocuSign. Dependiendo del sistema operativo y la dirección IP, esta página puede descargar un archivo JavaScript que facilita la entrada de Latrodectus, uno de los troyanos más peligrosos identificados.
Entre el 12 y el 28 de febrero, los ciberdelincuentes enviaron más de 2,300 correos electrónicos maliciosos sin cuerpo de texto, utilizando archivos PDF con códigos QR maliciosos. Este tipo de phishing, que disfraza los enlaces maliciosos en detalles aparentemente inofensivos, ha afectado principalmente a empresas de consultoría, tecnología de la información e ingeniería.
Los atacantes no solo emplean PDFs, sino también archivos .lnk ocultos en zips y documentos de Excel con macros maliciosas. Una táctica comúnmente utilizada involucra macros de Excel que propagan scripts de AutoHotKey, permitiendo operaciones de captura de pantalla y exfiltración de datos. Además, utilizan archivos SVG y servicios de redireccionamiento como Rebrandly, dificultando la identificación de las URLs finales por parte de los sistemas de seguridad.
Estos ataques también explotan servicios de colaboración ampliamente utilizados, como Adobe, DocuSign, Canva, Zoho, y Dropbox, engañando a las puertas de enlace de correo electrónico para que las comunicaciones maliciosas pasen desapercibidas. Incluso plataformas de redes sociales como Facebook han sido utilizadas para redirigir tráfico a páginas maliciosas que, bajo la apariencia de actualizaciones de software, distribuyen malware.
Ante estas amenazas, Microsoft ha instado a las organizaciones a implementar medidas de seguridad avanzadas, incluyendo autenticación multifactor resistente al phishing, filtrado de tráfico hacia dominios sospechosos, y formación en identificación de suplantaciones. Estos ataques reflejan un ecosistema de cibercrimen cada vez más profesionalizado y adaptable, que requiere de defensas más sofisticadas y una vigilancia constante.
La reciente oleada de ataques subraya la necesidad de una defensa integral en el ámbito corporativo, donde la superposición entre plataformas legítimas y herramientas delictivas requiere que cada interacción digital sea meticulosamente monitoreada y verificada. La protección contra estas tácticas combinará la tecnología con la capacitación continua del personal, un esfuerzo conjunto necesario para mantener la seguridad en un mundo cada vez más digitalizado.
