微软发出警告称,新一轮网络攻击活动正在利用美国即将到来的报税季进行凭证窃取和恶意软件传播。
这些电子邮件攻击活动利用了邮件的紧迫性和时效性特征,发送伪装成退税通知、工资单表格、申报提醒以及税务专业人员请求的钓鱼邮件,诱骗收件人打开恶意附件、扫描二维码或与可疑链接互动。
微软威胁情报团队和微软Defender安全研究团队在上周发布的报告中表示:"许多攻击活动针对个人进行个人和财务数据盗窃,但其他攻击活动专门针对处理敏感文档、有权访问财务数据且习惯在此期间接收税务相关邮件的会计师和其他专业人士。"
虽然其中一些攻击将用户引导至通过钓鱼即服务平台设计的可疑页面,但其他攻击则会部署合法的远程监控和管理工具,如ConnectWise ScreenConnect、Datto和SimpleHelp,使攻击者能够持续访问被入侵的设备。
一些攻击活动的详细情况如下:
使用注册会计师诱饵传播与Energy365钓鱼即服务工具包相关的钓鱼页面,以获取受害者的电子邮件和密码。据估计,Energy365钓鱼工具包每天发送数十万封恶意邮件。
使用二维码和W2表格诱饵针对大约100个组织,主要是位于美国的制造业、零售业和医疗保健行业,将用户引导至模仿Microsoft 365登录页面的钓鱼页面,这些页面使用SneakyLog钓鱼即服务平台构建,以窃取其凭证和双因素身份验证代码。
使用税务主题域名进行钓鱼攻击,以访问更新税务表格为借口欺骗用户点击虚假链接,实际上是为了分发ScreenConnect。
冒充美国国税局并使用加密货币诱饵,专门针对美国高等教育部门,指示收件人通过访问恶意域名下载"加密货币税务表格1099",以传播ScreenConnect或SimpleHelp。
针对会计师和相关组织,请求帮助申报税务,发送恶意链接导致安装Datto。
微软表示,它还观察到2026年2月10日发生的一次大规模钓鱼攻击,影响了10000个组织的超过29000名用户。约95%的目标位于美国,涉及金融服务、技术软件、零售消费品等行业。
这家科技巨头说:"这些邮件冒充国税局,声称在收件人的电子申报识别号码下可能已经提交了不规范的纳税申报表。收件人被指示通过下载据称合法的'国税局成绩单查看器'来审查这些申报表。"
这些通过亚马逊简单邮件服务发送的邮件包含一个"下载国税局成绩单查看器5.1"按钮,点击后会将用户重定向至smartvault.im,这是一个伪装成知名文档管理和共享平台SmartVault的域名。
该钓鱼网站依靠Cloudflare来阻挡机器人和自动化扫描器,从而确保只有人类用户才能获得主要有效载荷:一个恶意打包的ScreenConnect,它为攻击者提供对其系统的远程访问,并促进数据盗窃、凭证收集和进一步的后渗透活动。
为了抵御这些攻击,建议组织对所有用户强制执行双因素身份验证,实施条件访问策略,监控和扫描传入的电子邮件和访问的网站,并防止用户访问恶意域名。
这一发现与发现的几个投放远程访问恶意软件或进行数据盗窃的攻击活动同时出现:
使用虚假Google Meet和Zoom页面将用户引诱到欺诈性视频通话中,最终通过虚假软件更新传播远程访问软件Teramind等合法员工监控平台。
使用利用Avast品牌的欺诈网站欺骗法语用户在退款诈骗中提供完整的信用卡详细信息。
使用冒充官方Telegram下载门户的拼写错误网站分发木马化安装程序,除了投放合法的Telegram安装程序外,还执行负责启动内存载荷的DLL。然后恶意软件开始与其命令和控制基础设施通信以接收指令、下载更新组件并维护持续访问。
滥用Microsoft Azure Monitor警报通知传送使用发票和未授权付款诱饵的回调钓鱼邮件。攻击者创建恶意Azure Monitor警报规则,在警报描述中嵌入诈骗内容,包括虚假账单详细信息和攻击者控制的支持电话号码。然后将受害者添加到链接到警报规则的操作组中,导致Azure从合法发送方地址发送钓鱼消息。
在钓鱼邮件中使用报价主题诱饵传播JavaScript投放器,该投放器连接到外部服务器下载PowerShell脚本,启动受信任的Microsoft应用程序并通过反射DLL注入向其注入XWorm 7.1有效载荷。更新的恶意软件附带了为隐蔽性和持久性而设计的.NET开发组件。类似的报价请求诱饵也被用于触发无文件Remcos远程访问工具感染链。
使用钓鱼邮件和ClickFix策略传播NetSupport远程访问工具并获得未授权系统访问、泄露数据和部署额外恶意软件。
在钓鱼邮件中使用Microsoft应用程序注册重定向URI滥用信任关系并绕过电子邮件垃圾邮件过滤器,将用户重定向到捕获受害者凭证和双因素身份验证代码的钓鱼网站。
滥用来自Avanan、Barracuda、Bitdefender、Cisco、INKY、Mimecast、Proofpoint、Sophos和Trend Micro的合法URL重写服务,在钓鱼邮件中隐藏恶意URL以逃避检测。威胁行为者在其钓鱼攻击中越来越多地采用多供应商链式重定向,较早的活动通常依赖单一重写服务,但较新的攻击堆叠已重写链接的多个层。这种嵌套使安全平台重建完整重定向路径并识别最终恶意目的地变得更加困难。
使用冒充广泛软件的恶意ZIP文件,包括生成式AI图像生成器、变声工具、股票市场交易工具、游戏模组、VPN和模拟器,传播Salat Stealer或MeshAgent,以及加密货币挖矿程序。该攻击活动专门针对美国、英国、印度、巴西、法国、加拿大和澳大利亚的用户。
使用通过钓鱼邮件发送的数字邀请诱饵将用户引导到虚假Cloudflare验证码页面,该页面传送VBScript,然后运行PowerShell代码从Google Drive获取名为SILENTCONNECT的规避性.NET加载器,最终传播ScreenConnect。
根据Huntress最近发布的报告,这些发现是在威胁行为者采用远程管理工具激增的背景下出现的,此类工具的滥用同比激增277%。
Elastic Security Labs研究人员Daniel Stepanic和Salim Bitam表示:"由于这些工具被合法IT部门使用,它们通常被忽视,在大多数企业环境中被认为是'可信的'。组织必须保持警惕,审核其环境以防止未授权的远程管理工具使用。"
Q&A
Q1:什么是钓鱼即服务平台?它们如何被用于税务诈骗?
A:钓鱼即服务平台是帮助攻击者创建钓鱼网站的工具包,如Energy365和SneakyLog。攻击者使用这些平台创建模仿Microsoft 365登录页面或税务相关网站的虚假页面,诱骗用户输入凭证和双因素身份验证代码。据估计,Energy365钓鱼工具包每天发送数十万封恶意邮件。
Q2:为什么远程管理工具会被攻击者滥用?
A:远程管理工具如ScreenConnect、Datto和SimpleHelp本身是合法的IT管理软件,被正当IT部门广泛使用,因此在企业环境中通常被认为是"可信的",容易被忽视。攻击者利用这一点,通过钓鱼攻击部署这些工具来获得对受害者系统的持续远程访问权限,进而进行数据盗窃和其他恶意活动。
Q3:企业如何防范这些税务主题钓鱼攻击?
A:企业可以采取多项防护措施:对所有用户强制执行双因素身份验证,实施条件访问策略,监控和扫描传入的电子邮件和访问的网站,防止用户访问恶意域名,并定期审核环境以发现未授权的远程管理工具使用。此外,还应提高员工对税务季钓鱼攻击的安全意识。
热门跟贴