【安全圈】微軟警告：IRS 釣魚郵件波及 2.9 萬用戶，遠程管理工具成攻擊新載體

關鍵詞

釣魚郵件

微軟近日發出警告，新型網絡攻擊正利用美國即將到來的報稅季，大肆竊取用戶憑證并傳播惡意軟件。

攻擊者抓住報稅郵件的緊迫性和時效性特點，發送偽裝成退稅通知、工資單、報稅提醒及稅務專業人士請求的釣魚郵件，誘騙收件人打開惡意附件、掃描二維碼或點擊可疑鏈接。

微軟威脅情報團隊與Defender安全研究團隊在上周發布的報告中指出：”多數攻擊針對個人用戶竊取財務信息，但部分攻擊專門瞄準會計師等專業人士——這類人群掌握敏感文件、擁有財務數據訪問權限，且習慣在報稅季接收稅務相關郵件�！�

部分攻擊將用戶導向通過”釣魚即服務”（PhaaS）平臺搭建的虛假頁面，另一些則直接部署合法的遠程監控管理工具（RMM），如ConnectWise ScreenConnect、Datto和SimpleHelp，使攻擊者得以長期控制受害設備。

主要攻擊手法包括：

• 會計師誘餌：利用注冊會計師（CPA）名義，通過Energy365釣魚工具包發送釣魚頁面竊取郵箱密碼。該工具包日均發送數十萬封惡意郵件。

• 二維碼與W2表單誘餌：針對約100家機構，主要為美國制造業、零售業和醫療行業，誘導用戶訪問仿冒Microsoft 365登錄頁面的釣魚網站。該頁面使用SneakyLog（又名Kratos）PhaaS平臺搭建，專門竊取用戶憑證和雙因素認證（2FA）碼。

• 稅務主題域名：以獲取更新版稅務表格為幌子，誘騙用戶點擊虛假鏈接，實則分發ScreenConnect。

• IRS加密貨幣誘餌：冒充美國國稅局（IRS），針對美國高等教育 sector，誘導收件人通過惡意域名（”irs-doc[.]com”或”gov-irs216[.]net”）下載”加密貨幣稅表1099″，進而部署ScreenConnect或SimpleHelp。

• 會計師定向攻擊：以幫助報稅為由，發送惡意鏈接誘導安裝Datto。

微軟披露，2026年2月10日監測到一場大規模釣魚攻擊，波及超過1萬家機構的2.9萬名用戶。約95%的目標位于美國，涵蓋金融服務（19%）、科技與軟件（18%）、零售與消費品（15%）等行業。

“郵件冒充IRS，聲稱收件人的電子報稅識別號（EFIN）存在異常報稅記錄，誘導其下載所謂的’IRS轉錄查看器’進行核實�！�

這些通過亞馬遜簡單郵件服務（SES）發送的郵件包含”下載IRS轉錄查看器5.1″按鈕，點擊后跳轉至smartvault[.]im——一個偽裝成知名文檔管理平臺SmartVault的域名。

該釣魚網站利用Cloudflare攔截機器人和自動掃描工具，確保僅向真實用戶投放主要載荷：經過惡意打包的ScreenConnect，使攻擊者遠程訪問系統，實施數據竊取、憑證收集及后續滲透活動。

防護建議：組織應強制所有用戶啟用2FA，實施條件訪問策略，監控掃描 incoming 郵件和訪問網站，并封禁惡意域名。

與此同時，安全研究人員還發現多起遠程訪問木馬和數據竊取攻擊活動：

• 虛假視頻會議：偽造Google Meet和Zoom頁面，以軟件更新名義推送合法員工監控平臺Teramind。

• Avast退款詐騙：利用仿冒Avast品牌的欺詐網站，騙取法語用戶完整信用卡信息。

• 山寨Telegram：通過仿冒官網（”telegrgam[.]com”）分發木馬安裝包，植入DLL啟動內存載荷，建立持久化訪問。

• 濫用Azure Monitor：利用微軟Azure監控告警通知發送 callback 釣魚郵件，嵌入虛假賬單和攻擊者控制的客服電話，從 legitimate 地址azure-noreply@microsoft.com發送釣魚信息。

• 報價單誘餌：通過釣魚郵件投遞JavaScript下載器，連接外部服務器下載PowerShell腳本，啟動受信任的微軟程序”Aspnet_compiler.exe”并注入XWorm 7.1載荷。類似手法也被用于觸發無文件Remcos遠控木馬感染鏈。

• ClickFix伎倆：結合釣魚郵件和ClickFix手段投遞NetSupport遠控木馬，竊取數據并部署更多惡意軟件。

• 濫用微軟應用注冊重定向URI：在釣魚郵件中利用”login.microsoftonline[.]com”濫用信任關系、繞過垃圾郵件過濾，重定向至竊取憑證和2FA碼的釣魚網站。

• 多廠商鏈接重寫鏈：濫用Avanan、Barracuda、Bitdefender、Cisco、INKY、Mimecast、Proofpoint、Sophos和Trend Micro等合法URL重寫服務，嵌套多層重寫鏈接隱藏惡意URL，大幅增加安全平臺追蹤難度。

• 惡意ZIP文件：偽裝成AI圖像生成器、變聲工具、股票交易軟件、游戲模組、VPN和模擬器等，投遞Salat竊密木馬或MeshAgent，并捆綁加密貨幣挖礦程序。主要瞄準美國、英國、印度、巴西、法國、加拿大和澳大利亞用戶。

• 數字邀請函：通過釣魚郵件發送虛假Cloudflare驗證碼頁面，投遞VBScript運行PowerShell代碼，從Google Drive獲取名為SILENTCONNECT的隱蔽.NET加載器，最終部署ScreenConnect。

據Huntress最新報告，攻擊者對RMM工具的采用同比增長277%。

Elastic Security Labs研究員Daniel Stepanic和Salim Bitam指出：”由于這些工具被合法IT部門廣泛使用，在企業環境中通常被視為’可信’而被忽視。組織必須保持警惕，審計環境中未經授權的RMM使用情況�！�

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！