微软警告：IRS钓鱼攻击已影响29,000名用户，部署RMM恶意软件

2026年3月23日——微软警告称，新的网络钓鱼活动正在利用美国即将到来的报税季来窃取凭证和部署恶意软件。

攻击活动概述

这些电子邮件活动利用邮件的紧迫性和时效性，发送伪装成退税通知、工资单表格、报税提醒和税务专业人员请求的钓鱼信息，欺骗收件人打开恶意附件、扫描二维码或与可疑链接互动。

微软威胁情报和Microsoft Defender安全研究团队上周在一份报告中表示："许多活动针对个人进行个人和财务数据盗窃，但其他活动专门针对会计师和其他处理敏感文件、可以访问财务数据并习惯于在此期间接收与税务相关邮件的专业人员。"

攻击手段

虽然其中一些努力将用户引导至通过钓鱼即服务（PhaaS）平台设计的可疑页面，但其他活动导致部署合法的远程监控和管理工具（RMM），如ConnectWise ScreenConnect、Datto和SimpleHelp，使攻击者能够获得对受感染设备的持久访问权限。

具体活动详情

• 使用注册会计师（CPA）诱饵：投放与Energy365 PhaaS工具包相关的钓鱼页面，捕获受害者的电子邮件和密码。Energy365钓鱼工具包估计每天发送数十万封恶意邮件。

• 使用二维码和W2诱饵：针对美国约100个组织，主要在制造业、零售业和医疗保健行业，将用户引导至模仿Microsoft 365登录页面的钓鱼页面，使用SneakyLog（又名Kratos）PhaaS平台构建，以窃取他们的凭证和双因素认证（2FA）代码。

• 使用税务主题域名：用于钓鱼活动，诱骗用户点击虚假链接，借口是访问更新的税务表格，实际上分发ScreenConnect。

• 冒充美国国税局（IRS）：使用加密货币诱饵，专门针对美国高等教育部门，指示收件人通过访问恶意域名（"irs-doc[.]com"或"gov-irs216[.]net"）下载"加密货币税表1099"来交付ScreenConnect或SimpleHelp。

• 针对会计师和相关组织：请求帮助报税，发送导致安装Datto的恶意链接。

大规模攻击

微软表示，还观察到2026年2月10日的一场大规模钓鱼活动，超过29,000名用户跨越10,000个组织受到影响。约95%的目标位于美国，涵盖金融服务（19%）、技术和软件（18%）以及零售和消费品（15%）等行业。

该科技巨头表示："这些邮件冒充IRS，声称已在收件人的电子报税识别号码（EFIN）下提交了可能不规则的报税表。收件人被指示通过下载据称合法的'IRS成绩单查看器'来审查这些报税表。"

这些通过Amazon Simple Email Service（SES）发送的邮件包含一个"下载IRS成绩单查看器5.1"按钮，点击后将用户重定向到smartvault[.]im，这是一个伪装成SmartVault（一个知名的文档管理和共享平台）的域名。

技术细节

钓鱼网站依赖Cloudflare来阻止机器人和自动扫描器，从而确保只有人类用户才能获得主要有效载荷：一个恶意打包的ScreenConnect，授予攻击者对其系统的远程访问权限，并促进数据盗窃、凭证收集和进一步的后续利用活动。

安全建议

为了防范这些攻击，建议组织：

• 对所有用户强制执行2FA
• 实施条件访问策略
• 监控和扫描传入邮件和访问的网站
• 阻止用户访问恶意域名

RMM工具滥用趋势

这些发现与发现投放远程访问恶意软件或进行数据盗窃的几项活动相吻合。根据Huntress最近发布的一份报告，威胁行为者对RMM的采用正在增加，此类工具的滥用激增了277%。

Elastic Security Labs研究人员Daniel Stepanic和Salim Bitam表示："由于这些工具被合法的IT部门使用，它们通常被忽视，在大多数企业环境中被视为'可信的'。组织必须保持警惕，审计其环境中未经授权的RMM使用情况。"

来源：The Hacker News