Налоговый сезон в США стал пиком для целевых фишинговых атак на бухгалтеров и корпоративных пользователей

Основным вектором атак остаётся социальная инженерия, однако тактики постоянно эволюционируют. Злоумышленники массово используют платформы "фишинг-как-услуга" (PhaaS, phishing-as-a-service), которые позволяют создавать высококачественные поддельные страницы для сбора логинов и паролей, включая обход многофакторной аутентификации. Кроме того, наблюдается устойчивая тенденция злоупотребления легальными инструментами удалённого мониторинга и управления, которые превращаются в трояны для удалённого доступа, обеспечивая злоумышленникам долгосрочное закрепление в системе.

В феврале и марте 2026 года аналитики Microsoft детально изучили несколько характерных кампаний, демонстрирующих весь спектр современных угроз. Одна из них, относительно небольшая по масштабу, выделялась высокой степенью кастомизации. Злоумышленники рассылали письма с темой "See Tax file" и вложением Excel, названным в честь реального сертифицированного публичного бухгалтера (CPA, Certified Public Accountant). Файл содержал кнопку, ведущую на документ OneNote в облачном хранилище OneDrive, а оттуда - на фишинговую страницу, развёрнутую с помощью популярного набора Energy365. Эта многоступенчатая схема с использованием легальных сервисов была призвана усложнить автоматическое обнаружение угроз.

Другая кампания использовала более прямолинейный, но не менее эффективный подход с QR-кодами. В письмах на тему ежегодной налоговой формы W-2 для сотрудников злоумышленники прикрепляли документы Word, персонализированные для каждого получателя. Вместо прямой ссылки в файле содержался QR-код, ведущий на страницу, созданную с помощью платформы SneakyLog (также известной как Kratos) и имитирующую окно входа в Microsoft 365 для кражи учётных данных. Персонализация каждого документа и использование QR-кода, который пользователи часто воспринимают как безопасный элемент, повышали доверие жертв.

Отдельную и растущую опасность представляют кампании по доставке вредоносного ПО под видом налоговых документов. В одном из случаев злоумышленники регистрировали домены с ключевыми словами вроде "tax" и "1099form", а затем рассылали письма, стилизованные под уведомления от финансовых сервисов. Кнопка "View Tax Forms" вела по цепочке редиректов вплоть до скачивания исполняемого файла с именем вроде 1099-FR2025.exe. Полезной нагрузкой выступал легальный RMM-инструмент ScreenConnect от компании ConnectWise. Аналогичным образом в другой кампании под предлогом готовности "Cryptocurrency Tax Form 1099" и с имитацией адреса от IRS распространялись установщики ScreenConnect или другого RMM-инструмента - SimpleHelp. Эксперты отметили, что злоупотребление подобными легальными средствами администратора стало массовым явлением, так как они реже вызывают подозрения у пользователей и систем защиты по сравнению с классическими троянами.

Особое внимание атакующие уделяют профессиональным бухгалтерским компаниям. Одна из целевых кампаний использовала изощрённый социальный инжиниринг: первое письмо содержало детальную легенду о сложной налоговой ситуации, запрос на оказание услуг и ссылку для "просмотра документов". Эта ссылка, скрытая за цепочкой из бесплатного хостинга и сервиса сокращения URL, в конечном итоге вела к скачиванию вредоносного ПО на базе ещё одного RMM-инструмента - Datto. Подобные атаки, начинающиеся с якобы делового диалога, особенно опасны, так как эксплуатируют профессиональные обязанности и доверие получателя.

Наиболее масштабной из описанных кампаний стала рассылка, затронувшая более 29 000 пользователей в 10 000 организациях, преимущественно в США. Письма, отправленные через Amazon SES, умело имитировали коммуникацию от Налоговой службы США (IRS), используя 14 различных вариантов отображаемого имени отправителя и 49 вариантов темы письма для обхода сигнатурных систем обнаружения. В письмах утверждалось, что под идентификационным номером получателя для электронной подачи (EFIN) были зарегистрированы подозрительные декларации, и для их проверки требовалось скачать "Просмотрщик расшифровок IRS". Кнопка вела на фишинговый сайт, замаскированный под популярный среди бухгалтеров сервис управления документами SmartVault. Этот сайт использовал защиту Cloudflare для отсеивания ботов и систем автоматического анализа, демонстрируя полезную нагрузку - переупакованный ScreenConnect - только реальным пользователям после показа фейковой анимации "проверки".

Данные кампании наглядно демонстрируют, что угрозы налогового сезона вышли далеко за рамки простого массового спама. Это целенаправленные, технически продвинутые операции, сочетающие глубокую персонализацию, злоупотребление доверенными сервисами и эксплуатацию легального ПО в злонамеренных целях. Для организаций и специалистов, работающих с финансовыми данными, это означает необходимость повышенной бдительности. Ключевые меры защиты включают обязательное обучение сотрудников, особенно в бухгалтерии и финансовых отделах, распознаванию сложных фишинговых сценариев, строгую настройку почтовых фильтров с акцентом на анализ цепочек редиректов и вложенных ссылок, а также внедрение политик ограничения запуска неподписанного или непроверенного программного обеспечения, что особенно актуально для блокирования злоупотребления RMM-инструментами. Налоговый сезон - это не только время отчётности, но и период, когда киберзащита должна работать в режиме повышенной готовности.

Domains

• edud.site
• gov-irs216.net
• irs-doc.com
• private-adobe-client.im
• smartvault.im
• taxationstatments2025.com

SHA256

• 45b6b4db1be6698c29ffde9daeb8ffaa344b687d3badded2f8c68c922cdce6e0
• d422f6f5310af1e72f6113a2a592916f58e3871c58d0e46f058d4b669a3a0fd8