{"id":328,"date":"2026-03-23T12:57:44","date_gmt":"2026-03-23T12:57:44","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/23\/microsoft-advierte-que-el-phishing-del-irs-afecta-a-29-000-usuarios-e-implementa-malware-rmm-cyberdefensa-mx\/"},"modified":"2026-03-23T12:57:44","modified_gmt":"2026-03-23T12:57:44","slug":"microsoft-advierte-que-el-phishing-del-irs-afecta-a-29-000-usuarios-e-implementa-malware-rmm-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/23\/microsoft-advierte-que-el-phishing-del-irs-afecta-a-29-000-usuarios-e-implementa-malware-rmm-cyberdefensa-mx\/","title":{"rendered":"Microsoft advierte que el phishing del IRS afecta a 29.000 usuarios e implementa malware RMM \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Microsoft ha advertido sobre nuevas campa\u00f1as que est\u00e1n aprovechando la pr\u00f3xima temporada de impuestos en EE.UU. para recolectar credenciales y distribuir malware.<\/p>\n<p>Las campa\u00f1as de correo electr\u00f3nico aprovechan la urgencia y la urgencia de los correos electr\u00f3nicos para enviar mensajes de phishing disfrazados de avisos de reembolso, formularios de n\u00f3mina, recordatorios de presentaci\u00f3n y solicitudes de profesionales de impuestos para enga\u00f1ar a los destinatarios para que abran archivos adjuntos maliciosos, escaneen c\u00f3digos QR o interact\u00faen con enlaces sospechosos.<\/p>\n<p>\u00abMuchas campa\u00f1as se dirigen a personas para el robo de datos personales y financieros, pero otras se dirigen espec\u00edficamente a contadores y otros profesionales que manejan documentos confidenciales, tienen acceso a datos financieros y est\u00e1n acostumbrados a recibir correos electr\u00f3nicos relacionados con impuestos durante este per\u00edodo\u00bb, dijeron los equipos de Microsoft Threat Intelligence y Microsoft Defender Security Research. <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2026\/03\/19\/when-tax-season-becomes-cyberattack-season-phishing-and-malware-campaigns-using-tax-related-lures\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada.<\/p>\n<p>Si bien algunos de estos esfuerzos dirigen a los usuarios a p\u00e1ginas incompletas dise\u00f1adas a trav\u00e9s de plataformas de phishing como servicio (PhaaS), otros resultan en la implementaci\u00f3n de herramientas leg\u00edtimas de administraci\u00f3n y monitoreo remoto (RMM), como ConnectWise ScreenConnect, Datto y SimpleHelp, que permiten a los atacantes obtener acceso persistente a los dispositivos comprometidos.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Los detalles de algunas de las campa\u00f1as se encuentran a continuaci\u00f3n:<\/p>\n<ul>\n<li>Uso de se\u00f1uelos de contadores p\u00fablicos certificados (CPA) para entregar p\u00e1ginas de phishing asociadas con el kit Energy365 PhaaS para capturar el correo electr\u00f3nico y la contrase\u00f1a de las v\u00edctimas. Se estima que el kit de phishing Energy365 env\u00eda cientos de miles de correos electr\u00f3nicos maliciosos diariamente.<\/li>\n<li>Uso de c\u00f3digos QR y se\u00f1uelos W2 para dirigirse a aproximadamente 100 organizaciones, principalmente en las industrias de fabricaci\u00f3n, venta minorista y atenci\u00f3n m\u00e9dica ubicadas en los EE. UU., para dirigir a los usuarios a p\u00e1ginas de phishing que imitan las p\u00e1ginas de inicio de sesi\u00f3n de Microsoft 365 y creadas utilizando la plataforma PhaaS SneakyLog (tambi\u00e9n conocida como Kratos) para desviar sus credenciales y c\u00f3digos de autenticaci\u00f3n de dos factores (2FA).<\/li>\n<li>Usar dominios con temas fiscales para su uso en campa\u00f1as de phishing que enga\u00f1an a los usuarios para que hagan clic en enlaces falsos con el pretexto de acceder a formularios de impuestos actualizados, solo para distribuir ScreenConnect.<\/li>\n<li>Hacerse pasar por el Servicio de Impuestos Internos (IRS) con un se\u00f1uelo de criptomonedas dirigido espec\u00edficamente al sector de la educaci\u00f3n superior en los EE. UU., indicando a los destinatarios que descargaran un \u00abFormulario de impuestos sobre criptomonedas 1099\u00bb accediendo a un dominio malicioso (\u00abirs-doc[.]com\u00bb o \u00abgov-irs216[.]net\u00bb) para entregar ScreenConnect o SimpleHelp.<\/li>\n<li>Dirigido a contadores y organizaciones relacionadas, solicitando ayuda para declarar sus impuestos mediante el env\u00edo de un enlace malicioso que conduce a la instalaci\u00f3n de Datto.<\/li>\n<\/ul>\n<p>Microsoft dijo que tambi\u00e9n observ\u00f3 una campa\u00f1a de phishing a gran escala el 10 de febrero de 2026, en la que m\u00e1s de 29.000 usuarios de 10.000 organizaciones se vieron afectados. Alrededor del 95% de los objetivos estaban ubicados en EE.UU., abarcando industrias como servicios financieros (19%), tecnolog\u00eda y software (18%) y comercio minorista y bienes de consumo (15%).<\/p>\n<p>\u00abLos correos electr\u00f3nicos se hac\u00edan pasar por el IRS, alegando que se hab\u00edan presentado declaraciones de impuestos potencialmente irregulares con el N\u00famero de identificaci\u00f3n de presentaci\u00f3n electr\u00f3nica (EFIN) del destinatario. Los destinatarios recibieron instrucciones de revisar estas declaraciones descargando un &#8216;Visor de transcripciones del IRS&#8217; supuestamente leg\u00edtimo\u00bb, dijo el gigante tecnol\u00f3gico.<\/p>\n<p>Los correos electr\u00f3nicos, que se enviaron a trav\u00e9s de Amazon Simple Email Service (SES), conten\u00edan un bot\u00f3n \u00abDescargar IRS Transcript View 5.1\u00bb que, al hacer clic, redirig\u00eda a los usuarios a smartvault.[.]im, un dominio que se hace pasar por SmartVault, una conocida plataforma de gesti\u00f3n e intercambio de documentos.<\/p>\n<p>El sitio de phishing confi\u00f3 en Cloudflare para mantener a raya a los bots y los esc\u00e1neres automatizados, garantizando as\u00ed que solo los usuarios humanos reciban la carga \u00fatil principal: un ScreenConnect empaquetado maliciosamente que otorga a los atacantes acceso remoto a sus sistemas y facilita el robo de datos, la recolecci\u00f3n de credenciales y otras actividades posteriores a la explotaci\u00f3n.<\/p>\n<p>Para mantenerse a salvo de estos ataques, se recomienda a las organizaciones que apliquen 2FA a todos los usuarios, implementen pol\u00edticas de acceso condicional, monitoreen y escaneen los correos electr\u00f3nicos entrantes y los sitios web visitados, y eviten que los usuarios accedan a dominios maliciosos.<\/p>\n<p>El desarrollo coincide con el descubrimiento de varias campa\u00f1as que arrojan malware de acceso remoto o realizan robo de datos.<\/p>\n<ul>\n<li>Usando <a href=\"https:\/\/www.netcraft.com\/blog\/remote-access-delivery-via-fake-meetings\" rel=\"noopener\" target=\"_blank\">p\u00e1ginas falsas de Google Meet y Zoom<\/a> para atraer a los usuarios a videollamadas fraudulentas que, en \u00faltima instancia, <a href=\"https:\/\/www.malwarebytes.com\/blog\/scams\/2026\/02\/fake-zoom-meeting-update-silently-installs-surveillance-software\" rel=\"noopener\" target=\"_blank\">entregar<\/a> software de acceso remoto como Teramind, una plataforma leg\u00edtima de seguimiento de empleados, mediante una actualizaci\u00f3n de software falsa.<\/li>\n<li>Usando un <a href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intel\/2026\/02\/refund-scam-impersonates-avast-to-harvest-credit-card-details\" rel=\"noopener\" target=\"_blank\">sitio web fraudulento<\/a> que aprovecha la marca Avast para enga\u00f1ar a los usuarios de habla francesa para que entreguen los datos completos de su tarjeta de cr\u00e9dito como parte de una estafa de reembolso.<\/li>\n<li>Usando un <a href=\"https:\/\/labs.k7computing.com\/index.php\/fake-telegram-malware-campaign-analysis-of-a-multi-stage-loader-delivered-via-typosquatted-websites\/\" rel=\"noopener\" target=\"_blank\">sitio web mal escrito<\/a> haci\u00e9ndose pasar por el portal oficial de descarga de Telegram (\u00abtelegrgam[.]com\u00bb) para distribuir instaladores troyanizados que, adem\u00e1s de eliminar un instalador leg\u00edtimo de Telegram, ejecutan una DLL responsable de lanzar una carga \u00fatil en la memoria. Luego, el malware inicia la comunicaci\u00f3n con su infraestructura de comando y control para recibir instrucciones, descargar componentes actualizados y mantener un acceso persistente.<\/li>\n<li>Abusar <a href=\"https:\/\/x.com\/SpiderLabs\/status\/2032446349094818119\" rel=\"noopener\" target=\"_blank\">Notificaciones de alerta de Microsoft Azure Monitor<\/a> para enviar correos electr\u00f3nicos de phishing con devoluci\u00f3n de llamadas que utilizan facturas y se\u00f1uelos de pagos no autorizados. \u00abLos atacantes crean reglas de alerta maliciosas de Azure Monitor, incorporando contenido fraudulento en la descripci\u00f3n de la alerta, incluidos detalles de facturaci\u00f3n falsos y n\u00fameros de tel\u00e9fono de soporte controlados por el atacante\u00bb, dijo LevelBlue. \u00abLuego, las v\u00edctimas se agregan al grupo de acci\u00f3n vinculado a la regla de alerta, lo que hace que Azure env\u00ede el mensaje de phishing desde la direcci\u00f3n del remitente leg\u00edtimo azure-noreply@microsoft.com\u00bb.<\/li>\n<li>Usando <a href=\"https:\/\/www.trellix.com\/blogs\/research\/malware-as-a-service-redefined-xworm-rat\/\" rel=\"noopener\" target=\"_blank\">se\u00f1uelos con temas de citas<\/a> en correos electr\u00f3nicos de phishing para entregar un cuentagotas de JavaScript que se conecta a un servidor externo para descargar un script de PowerShell, que inicia la aplicaci\u00f3n confiable de Microsoft \u00abAspnet_compiler.exe\u00bb e inyecta en ella una carga \u00fatil XWorm 7.1 mediante una inyecci\u00f3n de DLL reflectante. El malware actualizado viene con un componente desarrollado en .NET dise\u00f1ado para brindar sigilo y persistencia. Tambi\u00e9n se han utilizado solicitudes similares de cotizaci\u00f3n de se\u00f1uelos para <a href=\"https:\/\/www.trellix.com\/blogs\/research\/fileless-multi-stage-remcos-rat-phishing-to-memory\/\" rel=\"noopener\" target=\"_blank\">desencadenar<\/a> una cadena de infecci\u00f3n Remcos RAT sin archivos.<\/li>\n<li>Usar correos electr\u00f3nicos de phishing y t\u00e1cticas de ClickFix para <a href=\"https:\/\/www.darktrace.com\/blog\/netsupport-rat-how-legitimate-tools-can-be-as-damaging-as-malware\" rel=\"noopener\" target=\"_blank\">entregar<\/a> <a href=\"https:\/\/corelight.com\/blog\/detecting-netsupport-manager-abuse\" rel=\"noopener\" target=\"_blank\">NetSupport rata<\/a> y obtener acceso no autorizado al sistema, filtrar datos e implementar malware adicional.<\/li>\n<li>Usando <a href=\"https:\/\/www.levelblue.com\/blogs\/spiderlabs-blog\/phishing-with-oauth-redirect\" rel=\"noopener\" target=\"_blank\">URI de redireccionamiento de registro de aplicaciones de Microsoft<\/a> (\u00abiniciar sesi\u00f3n.microsoftonline[.]com\u00bb) en correos electr\u00f3nicos de phishing para abusar de las relaciones de confianza y evitar los filtros de spam de correo electr\u00f3nico para redirigir a los usuarios a sitios web de phishing que capturan las credenciales de las v\u00edctimas y los c\u00f3digos 2FA.<\/li>\n<li>Abusar de lo leg\u00edtimo <a href=\"https:\/\/www.levelblue.com\/blogs\/spiderlabs-blog\/weaponizing-safe-links-abuse-of-multi-layered-url-rewriting-in-phishing-attacks\" rel=\"noopener\" target=\"_blank\">Servicios de reescritura de URL<\/a> de Avanan, Barracuda, Bitdefender, Cisco, INKY, Mimecast, Proofpoint, Sophos y Trend Micro para ocultar URL maliciosas en correos electr\u00f3nicos de phishing evade la detecci\u00f3n. \u00abLos actores de amenazas han adoptado cada vez m\u00e1s la redirecci\u00f3n encadenada de m\u00faltiples proveedores en sus campa\u00f1as de phishing\u00bb, dijo LevelBlue. \u00abLa actividad anterior normalmente depend\u00eda de un \u00fanico servicio de reescritura, pero las campa\u00f1as m\u00e1s nuevas acumulan m\u00faltiples capas de enlaces ya reescritos. Este anidamiento hace que sea significativamente m\u00e1s dif\u00edcil para las plataformas de seguridad reconstruir la ruta de redireccionamiento completa e identificar el destino malicioso final\u00bb.<\/li>\n<li>Usando <a href=\"https:\/\/www.mcafee.com\/blogs\/other-blogs\/mcafee-labs\/ai-written-malware-vibe-coded-campaign\/\" rel=\"noopener\" target=\"_blank\">archivos ZIP maliciosos<\/a> haci\u00e9ndose pasar por una amplia gama de software, incluidos generadores de im\u00e1genes de inteligencia artificial (IA), herramientas de cambio de voz, utilidades de negociaci\u00f3n del mercado de valores, modificaciones de juegos, VPN y emuladores, para entregar Salat Stealer o MeshAgent, junto con un minero de criptomonedas. La campa\u00f1a se ha dirigido espec\u00edficamente a usuarios de EE. UU., Reino Unido, India, Brasil, Francia, Canad\u00e1 y Australia.<\/li>\n<li>Usando <a href=\"https:\/\/www.elastic.co\/security-labs\/silentconnect-delivers-screenconnect\" rel=\"noopener\" target=\"_blank\">se\u00f1uelos de invitaci\u00f3n digitales<\/a> enviado a trav\u00e9s de correos electr\u00f3nicos de phishing para desviar a los usuarios a una p\u00e1gina CAPTCHA falsa de Cloudflare que entrega un VBScript, que luego ejecuta c\u00f3digo PowerShell para recuperar un cargador .NET evasivo denominado SILENTCONNECT desde Google Drive para eventualmente entregar ScreenConnect.<\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/attack-stories-xmcyber-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEi10JhdzuuQKeU6vIJGPRAeffB5FYR9ajRiOfpp6hmgsP5GCmDcMdEKpiEEUZjkua9Y9R__l-63FpqNwAFgZzIdNR5lPIJcvvyBKIAu_nN7Z1TJoVUXrEvfQcWlJ0QhqMshOARvU3_B94NJNDbp-SiKAVfPFPibh_jcBpTfSPmCFxxJkPqL44kIFXL1WGEo\/s728-e100\/fs-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Los hallazgos se producen tras un aumento en la adopci\u00f3n de RMM por parte de los actores de amenazas, y el abuso de dichas herramientas aument\u00f3 un 277% a\u00f1o tras a\u00f1o, seg\u00fan un informe reciente publicado por Huntress.<\/p>\n<p>\u00abComo estas herramientas son utilizadas por departamentos de TI leg\u00edtimos, normalmente se pasan por alto y se consideran &#8216;confiables&#8217; en la mayor\u00eda de los entornos corporativos\u00bb, dijeron los investigadores de Elastic Security Labs, Daniel Stepanic y Salim Bitam. \u00abLas organizaciones deben permanecer alerta y auditar sus entornos para detectar el uso no autorizado de RMM\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft ha advertido sobre nuevas campa\u00f1as que est\u00e1n aprovechando la pr\u00f3xima temporada de impuestos en EE.UU. para recolectar credenciales y distribuir malware. Las campa\u00f1as de correo electr\u00f3nico aprovechan la urgencia y la urgencia de los correos electr\u00f3nicos para enviar mensajes de phishing disfrazados de avisos de reembolso, formularios de n\u00f3mina, recordatorios de presentaci\u00f3n y solicitudes [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[51,1165,24,70,226,1164,60,50,365,1166,1115],"class_list":["post-328","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-advierte","tag-afecta","tag-cyberdefensa-mx","tag-del","tag-implementa","tag-irs","tag-malware","tag-microsoft","tag-phishing","tag-rmm","tag-usuarios"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/328","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=328"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/328\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}