Период сдачи налоговой отчётности традиционно становится горячей порой не только для бухгалтеров и граждан, но и для киберпреступников. Оживлённый поток финансовых документов, повышенный уровень стресса и естественное ожидание писем от фискальных служб создают идеальную среду для социальной инженерии. Однако в 2026 году специалисты по информационной безопасности отмечают не просто сезонный всплеск, а качественное изменение угрозы: расширение географии, появление новых игроков и более изощрённые методы обмана, часто использующие легитимное программное обеспечение для удалённого управления.
Описание
Аналитики компании Proofpoint, специализирующейся на защите электронной почты, зафиксировали с начала года уже более сотни кампаний, эксплуатирующих налоговую тематику. В отличие от прошлых лет, когда доминировали классические программы-вымогатели или фишинг учётных данных, сейчас на первый план выходят атаки с использованием инструментов удалённого мониторинга и управления (RMM). Эти легальные решения, вроде Datto, N-Able или ScreenConnect, широко применяются в корпоративных ИТ-службах, что позволяет их вредоносным версиям часто оставаться незамеченными системами безопасности. Злоумышленники активно пользуются этим, поскольку такое ПО обычно имеет цифровые подписи и не вызывает подозрений, особенно если в компании не внедрён строгий белый список разрешённых приложений.
Сценарии атак поражают разнообразием: от классической имитации писем от Налогового управления США (IRS) до сообщений о просроченных документах, нарушениях или необходимости поддержки при подаче декларации. Объёмы рассылок варьируются от точечных атак до десятков тысяч писем, а география вышла далеко за пределы США, включив Канаду, Австралию, Швейцарию и Японию. Ярким примером новой тактики стала кампания 5 февраля 2026 года, когда злоумышленники, притворяясь IRS, рассылали письма с кнопкой "Просмотр справки", ведущей на файловый хостинг Bitbucket. Загружаемый исполняемый файл устанавливал вредоносную версию RMM-инструмента N-able. Для убедительности в письме был указан реальный телефонный номер налоговой службы, что значительно повышало доверие жертв.
Особое внимание экспертов привлёк новый финансово мотивированный актор, получивший обозначение TA4922. Этот игрок, вероятно, базирующийся в Восточной Азии, с весны 2025 года целенаправленно атакует организации, в основном в Японии. Его излюбленный метод - многоступенчатая социальная инженерия. Сначала жертва получает письмо от имени национальной налоговой администрации с требованием урегулировать некие обязательства и просьбой указать номер мобильного телефона для связи. После установления контакта актор может имитировать руководство финансового отдела компании-жертвы и через сторонние каналы связи доставлять вредоносные ссылки или файлы. Proofpoint в своём отчёте отмечает, что TA4922 также использует нагрузку из экосистемы Winos4.0 (также известной как ValleyRAT), а его кампании демонстрируют пересечения с группами Silver Fox и Void Arachne.
Параллельно продолжает активность другой известный актор - TA2730, специализирующийся на фишинге учётных данных. Его кампании носят скорее массовый, а не целенаправленный характер. Одна из самых популярных приманок - ссылка на форму W-8BEN, которую должны заполнять нерезиденты США для налоговых целей. Притворяясь брокерскими или инвестиционными компаниями, TA2730 рассылает письма с требованием обновить информацию по этой форме. Ссылка ведёт на фишинговую страницу, идеально копирующую интерфейс легитимного сервиса, где пользователи невольно вводят свои логины и пароли. Конечная цель - захват инвестиционных счетов для последующего хищения средств.
Не остаются в стороне и акторы, занимающиеся компрометацией деловой переписки (BEC). В марте была зафиксирована кампания, в которой злоумышленники, подделав отправителя под имя топ-менеджера компании, массово запрашивали у сотрудников бухгалтерии или отдела кадров формы W-2 за 2025 год. Эти документы содержат чрезвычайно чувствительную информацию: полные имена, адреса, номера социального страхования, что открывает дорогу для масштабного мошенничества с личностью и банковских махинаций.
Налоговый сезон, безусловно, обостряет ситуацию, но важно понимать, что финансовая тематика остаётся эффективной приманкой для фишинга круглый год. Злоумышленники мастерски играют на естественном беспокойстве людей, связанном с штрафами, ошибками в декларациях или ожиданием выплат. Организациям в этот период следует удвоить бдительность, усиливая как технические меры защиты, такие как строгий контроль за установкой любого ПО, включая RMM-инструменты, так и проводить регулярное обучение сотрудников. Крайне важно объяснять персоналу современные тактики социальной инженерии, предупреждать о рисках перехода к общению через личные мессенджеры по инициативе "коллег" или "госорганов" и культивировать практику обязательной дополнительной проверки любых запросов на передачу конфиденциальных данных, особенно в период финансовой отчётности.
Индикаторы компрометации
IPv4 Port Combinations
- 121.127.232.253:8443
Domains
- akcjdrya.com
- bksgcefzqyb.com
- buwxkiy.com
- eodrggi.com
- gyglowcq.com
- iuzndfqr.com
- nirbsff.com
- rmwztbrr.com
- whghfpytehu.com
- wijgzsfh.com
URLs
- https://bitbucket.org/pmlasobjekightailsians/rgww/downloads/amzn-s3-EfinTranscriptViewer.cm10_14_4_.EXE
- https://www.upsystems.one/Alex.exe
Emails
- Aubrey162243her@hotmail.com
- Baerg536714qrr@hotmail.com
- Belinda319932ywa@hotmail.com
- Bella1987Jenny8927@outlook.com
- Brenda26111993bbs@hotmail.com
- Brett77124cnd@hotmail.com
- Cedric1985Mattie70601@outlook.com
- Chappel1994Sunkel79549@outlook.com
- Chris1987Juanita79531@hotmail.com
- Clint15032004ye@hotmail.com
- Dan0600ups@hotmail.com
- Darryl658773qfs@hotmail.com
- Elisa1966Tamara82159@hotmail.com
- Ellis1986Akihito92@hotmail.com
- Elmer445637xqd@hotmail.com
- Garrett2003Jaime3246@outlook.com
- Genet868615mfd@hotmail.com
- GhaemmaghamiBorg2909@outlook.com
- Gilana406avh@hotmail.com
- Gilbert6704ysw@hotmail.com
- Glenn0045bnk@hotmail.com
- Greg2505880dbq@hotmail.com
- Hilda2441790ajg@hotmail.com
- Iris2003Francis43001@hotmail.com
- Jo1990Nelson506@hotmail.com
- Kaitlyn135452qyw@hotmail.com
- Kamiisa1962Eunice52@outlook.com
- KatsaounisSetlak6267@outlook.com
- Kayla383537cau@hotmail.com
- Kelly5906byn@hotmail.com
- Lathrop1966Alice63@hotmail.com
- Lucia1968Sheryl4254@outlook.com
- LucinaMcnear6104@outlook.com
- Mattie9227fdx@hotmail.com
- Morris1965Cruz7189@hotmail.com
- Nabila2004Eunice770@hotmail.com
- NicholWollan4783@outlook.com
- Peony1982Jamila936@outlook.com
- Quirita1980Laraine303@hotmail.com
- Quirita42462vpp@hotmail.com
- Rafael0746881jxk@hotmail.com
- Sabah30035vrj@hotmail.com
- SablanLoretz4374@outlook.com
- Sheryl1993Sabah3812@outlook.com
- SteadfastSeefried8443@outlook.com
- Tanisha535486nyg@hotmail.com
- Terrell1980Dawn020@hotmail.com
- Vanessa1991Gretel73372@outlook.com
- Violet82113vbv@hotmail.com
- Violet900048ege@hotmail.com
- WaffleMehta9842@outlook.com
- Wendell1988Lovice46@hotmail.com
- YObutler.jonasd8nC29@yahoo.com
- Yvette20071993pgc@hotmail.com
- Yvonne8544809axa@hotmail.com
SHA256
- 844202972ff19afa760447fc87963de0fbbc0ebc69d50164f03ecf5d4e67952f
- d338a7f85737cac1a7b4b5a1cca94e33d0aa8260548667c6733225d4c20cb848
