文章总结： 微软警告攻击者利用报税季向2.9万用户发送钓鱼邮件，通过会计师诱饵、二维码、虚假税务网站等手法部署合法远程管理工具实现长期控制，波及金融、科技、零售等多个行业。微软建议强制启用双因素认证、实施条件访问、监控邮件与网站访问并审计未经授权的远程管理工具使用情况。 综合评分： 85 文章分类： 威胁情报,安全运营,恶意软件,社会工程学,漏洞预警

【安全圈】微软警告：IRS 钓鱼邮件波及 2.9 万用户，远程管理工具成攻击新载体

安全圈

2026年3月24日 19:03 江苏

关键词

钓鱼邮件

微软近日发出警告，新型网络攻击正利用美国即将到来的报税季，大肆窃取用户凭证并传播恶意软件。

攻击者抓住报税邮件的紧迫性和时效性特点，发送伪装成退税通知、工资单、报税提醒及税务专业人士请求的钓鱼邮件，诱骗收件人打开恶意附件、扫描二维码或点击可疑链接。

微软威胁情报团队与Defender安全研究团队在上周发布的报告中指出：”多数攻击针对个人用户窃取财务信息，但部分攻击专门瞄准会计师等专业人士——这类人群掌握敏感文件、拥有财务数据访问权限，且习惯在报税季接收税务相关邮件。”

部分攻击将用户导向通过”钓鱼即服务”（PhaaS）平台搭建的虚假页面，另一些则直接部署合法的远程监控管理工具（RMM），如ConnectWise ScreenConnect、Datto和SimpleHelp，使攻击者得以长期控制受害设备。

主要攻击手法包括：

• 会计师诱饵：利用注册会计师（CPA）名义，通过Energy365钓鱼工具包发送钓鱼页面窃取邮箱密码。该工具包日均发送数十万封恶意邮件。
• 二维码与W2表单诱饵：针对约100家机构，主要为美国制造业、零售业和医疗行业，诱导用户访问仿冒Microsoft 365登录页面的钓鱼网站。该页面使用SneakyLog（又名Kratos）PhaaS平台搭建，专门窃取用户凭证和双因素认证（2FA）码。
• 税务主题域名：以获取更新版税务表格为幌子，诱骗用户点击虚假链接，实则分发ScreenConnect。
• IRS加密货币诱饵：冒充美国国税局（IRS），针对美国高等教育 sector，诱导收件人通过恶意域名（”irs-doc[.]com”或”gov-irs216[.]net”）下载”加密货币税表1099″，进而部署ScreenConnect或SimpleHelp。
• 会计师定向攻击：以帮助报税为由，发送恶意链接诱导安装Datto。

微软披露，2026年2月10日监测到一场大规模钓鱼攻击，波及超过1万家机构的2.9万名用户。约95%的目标位于美国，涵盖金融服务（19%）、科技与软件（18%）、零售与消费品（15%）等行业。

“邮件冒充IRS，声称收件人的电子报税识别号（EFIN）存在异常报税记录，诱导其下载所谓的’IRS转录查看器’进行核实。”

这些通过亚马逊简单邮件服务（SES）发送的邮件包含”下载IRS转录查看器5.1″按钮，点击后跳转至smartvault[.]im——一个伪装成知名文档管理平台SmartVault的域名。

该钓鱼网站利用Cloudflare拦截机器人和自动扫描工具，确保仅向真实用户投放主要载荷：经过恶意打包的ScreenConnect，使攻击者远程访问系统，实施数据窃取、凭证收集及后续渗透活动。

防护建议：组织应强制所有用户启用2FA，实施条件访问策略，监控扫描 incoming 邮件和访问网站，并封禁恶意域名。

与此同时，安全研究人员还发现多起远程访问木马和数据窃取攻击活动：

• 虚假视频会议：伪造Google Meet和Zoom页面，以软件更新名义推送合法员工监控平台Teramind。
• Avast退款诈骗：利用仿冒Avast品牌的欺诈网站，骗取法语用户完整信用卡信息。
• 山寨Telegram：通过仿冒官网（”telegrgam[.]com”）分发木马安装包，植入DLL启动内存载荷，建立持久化访问。
• 滥用Azure Monitor：利用微软Azure监控告警通知发送 callback 钓鱼邮件，嵌入虚假账单和攻击者控制的客服电话，从 legitimate 地址[email protected]发送钓鱼信息。
• 报价单诱饵：通过钓鱼邮件投递JavaScript下载器，连接外部服务器下载PowerShell脚本，启动受信任的微软程序”Aspnet_compiler.exe”并注入XWorm 7.1载荷。类似手法也被用于触发无文件Remcos远控木马感染链。
• ClickFix伎俩：结合钓鱼邮件和ClickFix手段投递NetSupport远控木马，窃取数据并部署更多恶意软件。
• 滥用微软应用注册重定向URI：在钓鱼邮件中利用”login.microsoftonline[.]com”滥用信任关系、绕过垃圾邮件过滤，重定向至窃取凭证和2FA码的钓鱼网站。
• 多厂商链接重写链：滥用Avanan、Barracuda、Bitdefender、Cisco、INKY、Mimecast、Proofpoint、Sophos和Trend Micro等合法URL重写服务，嵌套多层重写链接隐藏恶意URL，大幅增加安全平台追踪难度。
• 恶意ZIP文件：伪装成AI图像生成器、变声工具、股票交易软件、游戏模组、VPN和模拟器等，投递Salat窃密木马或MeshAgent，并捆绑加密货币挖矿程序。主要瞄准美国、英国、印度、巴西、法国、加拿大和澳大利亚用户。
• 数字邀请函：通过钓鱼邮件发送虚假Cloudflare验证码页面，投递VBScript运行PowerShell代码，从Google Drive获取名为SILENTCONNECT的隐蔽.NET加载器，最终部署ScreenConnect。

据Huntress最新报告，攻击者对RMM工具的采用同比增长277%。

Elastic Security Labs研究员Daniel Stepanic和Salim Bitam指出：”由于这些工具被合法IT部门广泛使用，在企业环境中通常被视为’可信’而被忽视。组织必须保持警惕，审计环境中未经授权的RMM使用情况。”

END

阅读推荐

【安全圈】为博眼球使用 AI 造谣“烟花厂爆炸致 2 死 2 伤”，男子被依法处罚

【安全圈】晋中网安部门破获一起非法获取公民个人信息案

【安全圈】地缘冲突下加密货币“雪崩”，比特币跳水，20万人爆仓血本无归！

【安全圈】5人搭建社工库网站开盒被抓

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】微软警告：IRS 钓鱼邮件波及 2.9 万用户，远程管理工具成攻击新载体》