【安全圈】微軟警告：IRS 釣魚郵件波及 2.9 萬用戶，遠程管理工具成攻擊新載體

關鍵詞

釣魚郵件

微軟近日發(fā)出警告，新型網(wǎng)絡攻擊正利用美國即將到來的報稅季，大肆竊取用戶憑證并傳播惡意軟件。

攻擊者抓住報稅郵件的緊迫性和時效性特點，發(fā)送偽裝成退稅通知、工資單、報稅提醒及稅務專業(yè)人士請求的釣魚郵件，誘騙收件人打開惡意附件、掃描二維碼或點擊可疑鏈接。

微軟威脅情報團隊與Defender安全研究團隊在上周發(fā)布的報告中指出：”多數(shù)攻擊針對個人用戶竊取財務信息，但部分攻擊專門瞄準會計師等專業(yè)人士——這類人群掌握敏感文件、擁有財務數(shù)據(jù)訪問權限，且習慣在報稅季接收稅務相關郵件。”

部分攻擊將用戶導向通過”釣魚即服務”（PhaaS）平臺搭建的虛假頁面，另一些則直接部署合法的遠程監(jiān)控管理工具（RMM），如ConnectWise ScreenConnect、Datto和SimpleHelp，使攻擊者得以長期控制受害設備。

主要攻擊手法包括：

• 會計師誘餌：利用注冊會計師（CPA）名義，通過Energy365釣魚工具包發(fā)送釣魚頁面竊取郵箱密碼。該工具包日均發(fā)送數(shù)十萬封惡意郵件。

• 二維碼與W2表單誘餌：針對約100家機構，主要為美國制造業(yè)、零售業(yè)和醫(yī)療行業(yè)，誘導用戶訪問仿冒Microsoft 365登錄頁面的釣魚網(wǎng)站。該頁面使用SneakyLog（又名Kratos）PhaaS平臺搭建，專門竊取用戶憑證和雙因素認證（2FA）碼。

• 稅務主題域名：以獲取更新版稅務表格為幌子，誘騙用戶點擊虛假鏈接，實則分發(fā)ScreenConnect。

• IRS加密貨幣誘餌：冒充美國國稅局（IRS），針對美國高等教育 sector，誘導收件人通過惡意域名（”irs-doc[.]com”或”gov-irs216[.]net”）下載”加密貨幣稅表1099″，進而部署ScreenConnect或SimpleHelp。

• 會計師定向攻擊：以幫助報稅為由，發(fā)送惡意鏈接誘導安裝Datto。

微軟披露，2026年2月10日監(jiān)測到一場大規(guī)模釣魚攻擊，波及超過1萬家機構的2.9萬名用戶。約95%的目標位于美國，涵蓋金融服務（19%）、科技與軟件（18%）、零售與消費品（15%）等行業(yè)。

“郵件冒充IRS，聲稱收件人的電子報稅識別號（EFIN）存在異常報稅記錄，誘導其下載所謂的’IRS轉錄查看器’進行核實。”

這些通過亞馬遜簡單郵件服務（SES）發(fā)送的郵件包含”下載IRS轉錄查看器5.1″按鈕，點擊后跳轉至smartvault[.]im——一個偽裝成知名文檔管理平臺SmartVault的域名。

該釣魚網(wǎng)站利用Cloudflare攔截機器人和自動掃描工具，確保僅向真實用戶投放主要載荷：經(jīng)過惡意打包的ScreenConnect，使攻擊者遠程訪問系統(tǒng)，實施數(shù)據(jù)竊取、憑證收集及后續(xù)滲透活動。

防護建議：組織應強制所有用戶啟用2FA，實施條件訪問策略，監(jiān)控掃描 incoming 郵件和訪問網(wǎng)站，并封禁惡意域名。

與此同時，安全研究人員還發(fā)現(xiàn)多起遠程訪問木馬和數(shù)據(jù)竊取攻擊活動：

• 虛假視頻會議：偽造Google Meet和Zoom頁面，以軟件更新名義推送合法員工監(jiān)控平臺Teramind。

• Avast退款詐騙：利用仿冒Avast品牌的欺詐網(wǎng)站，騙取法語用戶完整信用卡信息。

• 山寨Telegram：通過仿冒官網(wǎng)（”telegrgam[.]com”）分發(fā)木馬安裝包，植入DLL啟動內(nèi)存載荷，建立持久化訪問。

• 濫用Azure Monitor：利用微軟Azure監(jiān)控告警通知發(fā)送 callback 釣魚郵件，嵌入虛假賬單和攻擊者控制的客服電話，從 legitimate 地址azure-noreply@microsoft.com發(fā)送釣魚信息。

• 報價單誘餌：通過釣魚郵件投遞JavaScript下載器，連接外部服務器下載PowerShell腳本，啟動受信任的微軟程序”Aspnet_compiler.exe”并注入XWorm 7.1載荷。類似手法也被用于觸發(fā)無文件Remcos遠控木馬感染鏈。

• ClickFix伎倆：結合釣魚郵件和ClickFix手段投遞NetSupport遠控木馬，竊取數(shù)據(jù)并部署更多惡意軟件。

• 濫用微軟應用注冊重定向URI：在釣魚郵件中利用”login.microsoftonline[.]com”濫用信任關系、繞過垃圾郵件過濾，重定向至竊取憑證和2FA碼的釣魚網(wǎng)站。

• 多廠商鏈接重寫鏈：濫用Avanan、Barracuda、Bitdefender、Cisco、INKY、Mimecast、Proofpoint、Sophos和Trend Micro等合法URL重寫服務，嵌套多層重寫鏈接隱藏惡意URL，大幅增加安全平臺追蹤難度。

• 惡意ZIP文件：偽裝成AI圖像生成器、變聲工具、股票交易軟件、游戲模組、VPN和模擬器等，投遞Salat竊密木馬或MeshAgent，并捆綁加密貨幣挖礦程序。主要瞄準美國、英國、印度、巴西、法國、加拿大和澳大利亞用戶。

• 數(shù)字邀請函：通過釣魚郵件發(fā)送虛假Cloudflare驗證碼頁面，投遞VBScript運行PowerShell代碼，從Google Drive獲取名為SILENTCONNECT的隱蔽.NET加載器，最終部署ScreenConnect。

據(jù)Huntress最新報告，攻擊者對RMM工具的采用同比增長277%。

Elastic Security Labs研究員Daniel Stepanic和Salim Bitam指出：”由于這些工具被合法IT部門廣泛使用，在企業(yè)環(huán)境中通常被視為’可信’而被忽視。組織必須保持警惕，審計環(huán)境中未經(jīng)授權的RMM使用情況。”

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！