Kampanie phishingowe podszywające się pod IRS uderzyły w 29 tys. użytkowników i wykorzystywały legalne narzędzia zdalnego dostępu - Security Bez Tabu

Kampanie phishingowe podszywające się pod IRS uderzyły w 29 tys. użytkowników i wykorzystywały legalne narzędzia zdalnego dostępu

Cybersecurity news

Wprowadzenie do problemu / definicja

Wraz z sezonem rozliczeń podatkowych w USA rośnie aktywność cyberprzestępców wykorzystujących motywy związane z IRS, formularzami W-2, numerami EFIN oraz dokumentacją księgową. Tego typu kampanie bazują na presji czasu, urzędowym tonie komunikacji i obawie przed błędami w rozliczeniach.

Najnowsza fala ataków pokazuje jednak istotną zmianę taktyki. Zamiast polegać wyłącznie na klasycznym malware, napastnicy coraz częściej dostarczają legalne narzędzia zdalnego zarządzania i wsparcia technicznego, takie jak ScreenConnect, Datto czy SimpleHelp. To sprawia, że złośliwa aktywność może przypominać standardowe działania administracyjne i trudniej ją wykryć przy użyciu tradycyjnych mechanizmów bezpieczeństwa.

W skrócie

Microsoft ostrzegł przed kampaniami phishingowymi wykorzystującymi tematykę podatkową do kradzieży poświadczeń oraz instalacji narzędzi RMM. W jednej z największych operacji, wykrytej 10 lutego 2026 r., poszkodowanych zostało ponad 29 tys. użytkowników z około 10 tys. organizacji, a około 95% celów znajdowało się w USA.

Wiadomości e-mail podszywały się pod IRS i informowały o rzekomo nieprawidłowych deklaracjach podatkowych powiązanych z numerem EFIN odbiorcy. Po kliknięciu ofiara była kierowana do fałszywej witryny, z której pobierano spreparowany pakiet ScreenConnect, zapewniający atakującym trwały dostęp do systemu. Równolegle obserwowano również wykorzystanie phishing-as-a-service oraz mechanizmów utrudniających analizę automatyczną.

Kontekst / historia

Phishing związany z sezonem podatkowym nie jest nowym zjawiskiem, ale pozostaje wyjątkowo skuteczny. Atakujący korzystają z naturalnego napięcia towarzyszącego rozliczeniom, oczekiwaniu na zwrot podatku oraz konieczności szybkiej reakcji na korespondencję o charakterze formalnym.

W analizowanych incydentach odnotowano kilka równoległych wariantów kampanii. Część z nich wykorzystywała przynęty związane z biurami rachunkowymi i certyfikowanymi księgowymi do przechwytywania danych logowania do poczty. Inne posługiwały się kodami QR i fałszywymi formularzami W-2, przekierowując ofiary do stron imitujących logowanie do Microsoft 365 i wyłudzając również kody 2FA.

Osobny wariant bazował na hasłach takich jak „zaktualizowane formularze podatkowe”, „dokumenty IRS” lub „formularz 1099 dla kryptowalut”. Celem było przekonanie użytkownika do uruchomienia legalnego oprogramowania zdalnego wsparcia, które po instalacji stawało się narzędziem pełnego przejęcia stacji roboczej.

Szerszy kontekst tej kampanii wpisuje się w rosnący trend nadużywania legalnych narzędzi administracyjnych przez cyberprzestępców. Z perspektywy obrony oznacza to odejście od prostego modelu wykrywania znanego malware na rzecz identyfikacji nieautoryzowanego użycia zaufanych aplikacji.

Analiza techniczna

Łańcuch ataku był przygotowany w sposób, który zwiększał wiarygodność wiadomości i utrudniał detekcję. E-maile wysyłano z wykorzystaniem legalnej infrastruktury chmurowej obsługującej pocztę, co mogło osłabiać skuteczność prostych filtrów reputacyjnych. Treść wiadomości informowała o rzekomych nieprawidłowościach w deklaracjach podatkowych złożonych przy użyciu numeru EFIN i zachęcała do pobrania narzędzia „IRS Transcript Viewer”.

Po kliknięciu ofiara trafiała na domenę podszywającą się pod platformę zarządzania dokumentami. Fałszywa witryna stosowała zabezpieczenia utrudniające dostęp botom i automatycznym skanerom, dzięki czemu systemy analizy mogły nie otrzymać właściwego ładunku. Dopiero interakcja rzeczywistego użytkownika skutkowała pobraniem spreparowanego instalatora ScreenConnect.

Wybór legalnego narzędzia RMM dawał atakującym konkretne przewagi operacyjne:

  • umożliwiał interaktywny dostęp zdalny bez potrzeby tworzenia własnego trojana RAT,
  • zmniejszał szansę wzbudzenia alertu w organizacjach dopuszczających takie oprogramowanie,
  • ułatwiał dalszy rekonesans, eksfiltrację danych i uruchamianie dodatkowych poleceń,
  • pozwalał budować trwałość z użyciem usług systemowych, zadań zaplanowanych lub natywnych funkcji samego narzędzia.

Dodatkowo część operacji korzystała z gotowych platform phishing-as-a-service. To ważny sygnał świadczący o uprzemysłowieniu phishingu: operatorzy nie muszą samodzielnie budować infrastruktury, paneli ani stron logowania, lecz mogą korzystać z gotowych zestawów do przechwytywania poświadczeń i kodów MFA. W praktyce zwiększa to skalę ataków i skraca czas ich przygotowania.

Konsekwencje / ryzyko

Skutki tego typu kampanii wykraczają daleko poza pojedynczą kradzież loginu i hasła. Jeśli użytkownik uruchomi spreparowany pakiet RMM, napastnik może uzyskać trwały dostęp do stacji roboczej lub serwera, a następnie rozwijać atak wewnątrz środowiska.

Dla organizacji oznacza to ryzyko:

  • przejęcia kont pocztowych oraz kont Microsoft 365,
  • kradzieży dokumentów podatkowych, finansowych i danych osobowych,
  • obejścia części zabezpieczeń dzięki wykorzystaniu zaufanego narzędzia,
  • eskalacji uprawnień i ruchu bocznego,
  • dostarczenia kolejnych ładunków, w tym stealerów lub ransomware,
  • nadużycia dostępu do systemów księgowych, kadrowych i dokumentacyjnych.

Szczególnie narażone pozostają działy finansowe, biura rachunkowe oraz podmioty zajmujące się rozliczeniami podatkowymi. W opisywanej kampanii cele obejmowały m.in. sektor finansowy, technologiczny i detaliczny, co pokazuje, że problem nie dotyczy wyłącznie organizacji bezpośrednio związanych z księgowością.

Nadużywanie RMM wpisuje się ponadto w szerszy trend wykorzystywania narzędzi administracyjnych do celów przestępczych. Z punktu widzenia zespołów SOC i administratorów oznacza to konieczność traktowania nieautoryzowanej instalacji agentów zdalnego dostępu jako potencjalnego incydentu wysokiego ryzyka.

Rekomendacje

Organizacje powinny traktować sezon podatkowy jako okres podwyższonego ryzyka i odpowiednio wzmacniać polityki bezpieczeństwa. Najważniejsze działania obejmują:

  • wymuszanie silnego MFA oraz wdrażanie metod bardziej odpornych na phishing, takich jak FIDO2 i passkeys,
  • stosowanie Conditional Access oraz ograniczanie logowań z nietypowych lokalizacji i niezarządzanych urządzeń,
  • ścisłą kontrolę narzędzi RMM poprzez listy dozwolonych aplikacji i alertowanie o każdej nowej instalacji agentów,
  • zaawansowane filtrowanie poczty, analizę adresów URL i blokowanie aktualnych wskaźników kompromitacji,
  • monitorowanie zachowań na endpointach, w tym uruchamiania klientów RMM przez użytkowników biznesowych,
  • prowadzenie sezonowych szkoleń ostrzegających przed wiadomościami dotyczącymi IRS, EFIN, W-2 i pilnych dokumentów,
  • stosowanie zasady least privilege i segmentacji systemów finansowych oraz kadrowych,
  • przygotowanie playbooków reagowania na nadużycia legalnych narzędzi administracyjnych.

W praktyce szczególne znaczenie ma szybka izolacja hosta, unieważnienie aktywnych sesji, reset poświadczeń oraz przegląd świeżo wdrożonych agentów RMM. W środowiskach o wysokiej ekspozycji na dokumenty podatkowe warto również wdrożyć dodatkowe reguły ostrzegające o nietypowych pobraniach i sesjach zdalnych.

Podsumowanie

Najnowsze kampanie phishingowe podszywające się pod IRS pokazują, że cyberprzestępcy skutecznie łączą klasyczną socjotechnikę z nadużywaniem legalnych narzędzi zdalnego dostępu. Skala ataku, obejmująca dziesiątki tysięcy użytkowników, potwierdza, że sezon podatkowy pozostaje jednym z najbardziej atrakcyjnych okresów dla operatorów phishingu.

Dla obrońców to wyraźny sygnał, że sama detekcja znanego malware nie wystarcza. Kluczowe stają się kontrola tożsamości, monitoring legalnych narzędzi administracyjnych, segmentacja dostępu oraz dojrzałe procedury reagowania. To właśnie te elementy mogą realnie ograniczyć skutki podobnych kampanii w środowiskach firmowych.

Źródła

  1. Microsoft Warns IRS Phishing Hits 29,000 Users, Deploys RMM Malware — https://thehackernews.com/2026/03/microsoft-warns-irs-phishing-hits-29000.html
  2. Threat actors leverage tax season to deploy tax-themed phishing campaigns — https://www.microsoft.com/en-us/security/blog/2025/04/03/threat-actors-leverage-tax-season-to-deploy-tax-themed-phishing-campaigns/
  3. RMM Abuse: When IT Convenience Bites Back — https://www.huntress.com/blog/rmm-abuse-when-it-convenience-bites-back
  4. Get transcript accessibility | Internal Revenue Service — https://www.irs.gov/individuals/get-transcript-accessibility