美国报税季临近,网络攻击者又开始动手了。
微软威胁情报团队上周发布报告,直指多起利用税季紧迫感发起的钓鱼活动。部分攻击直奔个人用户,瞄准退税通知、工资单、报税提醒;另一些则锁定会计师和税务专业人士,这些人手里握着大量敏感财务文件,每天都在处理类似邮件。
其中一起大规模行动格外刺眼。2月10日当天,超过2.9万名用户、横跨1万家组织中招。95%的目标在美国,金融服务占19%,科技软件占18%,零售消费品占15%。攻击邮件假冒IRS,声称收件人EFIN下有异常报税记录,要求下载“IRS Transcript Viewer 5.1”查看。按钮一点,就跳转到伪装成SmartVault的smartvault[.]im域名。网站用Cloudflare挡住自动化扫描,只给真人用户推送恶意打包的ScreenConnect。
ScreenConnect不是什么新鲜玩意儿,它是合法的远程监控管理工具(RMM)。攻击者拿来直接用,轻松实现持久化远程控制,顺带窃取数据、抓凭证、进一步横向移动。类似手法还出现在其他几波攻击里:用CPA诱饵推送Energy365 PhaaS钓鱼页,每天发几十万封邮件;用二维码和W2表格针对约100家制造、零售、医疗企业,引导到SneakyLog伪造的Microsoft 365登录页,偷邮箱密码和2FA码;用税相关域名诱导点击假链接,安装Datto或SimpleHelp。
更狠的是,一起针对美国高校的攻击直接用加密货币当饵。邮件假冒IRS,让收件人下载“Cryptocurrency Tax Form 1099”,域名irs-doc[.]com或gov-irs216[.]net,落地同样是ScreenConnect或SimpleHelp。
这些RMM工具被滥用已成趋势。Huntress最新报告显示,威胁演员对RMM的滥用同比暴增277%。他们甚至把不同RMM工具串联使用,碎片化遥测数据,让防御方追踪和清理更头疼。Elastic Security Labs的分析师直言,这些工具在企业环境里通常被视为“可信”,审计稍有松懈就容易漏网。
除了税季主题,攻击者花样还在不断翻新。假Google Meet和Zoom页面诱导用户加入视频会议,结果推送Teramind员工监控软件;冒充Avast给法语用户发退款骗局,骗取完整信用卡信息;用typosquatting的telegrgam[.]com分发被植入后门的Telegram安装包,落地DLL在内存加载payload;甚至滥用Azure Monitor警报,从azure-noreply@microsoft.com发出带假发票和客服电话的钓鱼邮件。
还有用报价主题的邮件投放JavaScript dropper,最终注入XWorm 7.1;用ClickFix把戏安装NetSupport RAT;通过多层URL重写服务(Avanan、Barracuda、Proofpoint等)层层隐藏恶意链接,让安全网关难辨真伪;用假ZIP文件冒充AI绘图、变声工具、股票交易软件,投放Salat Stealer、MeshAgent和挖矿程序,目标覆盖美英印巴法加澳等多国。
最近一波还玩起了数字邀请卡,跳转到假Cloudflare CAPTCHA,吐出VBScript再拉PowerShell,最终从Google Drive拉SILENTCONNECT加载器,再装ScreenConnect。
报税季才刚开始,这波攻势大概率还会继续。微软建议组织强制所有用户开启2FA,实施条件访问策略,严格监控邮件和访问站点,及时封堵已知恶意域名。个人用户也别掉以轻心,遇到IRS、退税、W2这些字眼,先核实发件人,再点链接。
加密市场这边,BTC现报$70,952(涨3.68%),ETH现报$2,156(涨5.12%),资金面相对平稳,但网络安全事件频发,总让人想起资产安全和链上操作的风险。攻击者手里的RMM一旦得手,受害者钱包、交易所账号都可能遭殃。
现实就是这样残酷。税季本该是忙着算账的时候,现在还得多算一道:怎么不让自己的电脑和数据变成别人的提款机。