A Microsoft alertou para uma série de campanhas de phishing que exploram temas relacionados ao período de declaração de impostos nos Estados Unidos para distribuir malwares e roubar credenciais. Segundo a empresa, os atacantes estão utilizando arquivos PDF com códigos QR e encurtadores de URL para redirecionar vítimas a páginas falsas, muitas vezes hospedadas em serviços legítimos como plataformas de armazenamento de arquivos e perfis corporativos, dificultando a detecção.

Essas campanhas, em alguns casos, utilizam a plataforma de phishing como serviço RaccoonO365, especializada em clonar páginas de login do Microsoft 365. Também foram identificados malwares como Remcos RAT, Latrodectus, GuLoader, AHKBot e BruteRatel C4 (BRc4) sendo distribuídos por meio dessas campanhas. Em uma ofensiva detectada em 6 de fevereiro de 2025, centenas de e-mails foram enviados a alvos nos EUA contendo PDFs com links para páginas falsas do DocuSign.

Ao clicar para baixar o suposto documento, o acesso ao próximo estágio dependia de regras de filtragem definidas pelos cibercriminosos. Usuários selecionados recebiam um arquivo JavaScript que baixava um instalador MSI com BRc4, usado como vetor para o Latrodectus. Outros recebiam apenas um PDF inofensivo. Entre 12 e 28 de fevereiro, outra campanha atingiu mais de 2.300 organizações nos setores de engenharia, TI e consultoria, usando PDFs com QR codes que levavam a páginas falsas de login. Já a campanha com GuLoader envolvia arquivos ZIP contendo atalhos (.lnk) disfarçados de documentos fiscais, que ativavam scripts para baixar e executar o malware. No caso do AHKBot, macros em planilhas do Excel eram usadas para baixar um módulo de captura de tela e enviar os dados a servidores remotos.