10 февраля 2026 года Microsoft зафиксировала фишинговую атаку, затронувшую более 29 000 пользователей из 10 000 организаций. Примерно 95% пострадавших находились в США. Финансовый сектор получил 19% всех вредоносных писем, технологические компании — 18%, ритейл и потребительские товары — 15%. Всё это были письма якобы от налоговой службы IRS.
Атаки строятся на простом психологическом расчёте: налоговый сезон в США создаёт естественную срочность. Люди ждут форм W2, уведомлений о возврате налогов, напоминаний о сроках подачи деклараций. Именно в этот момент приходит письмо о «нарушениях по вашему EFIN» (Electronic Filing Identification Number) с кнопкой «Скачать IRS Transcript View 5.1». Кто в марте откажется нажать?
Февральская кампания была построена на имитации IRS, которая якобы обнаружила подозрительные налоговые декларации, поданные под идентификационным номером электронной подачи пользователя. После клика жертва попадала на страницу, внешне неотличимую от официальной. Параллельно шли другие волны: письма с QR-кодами и формами W2, ведущие на фишинговые страницы Microsoft 365, построенные на платформе SneakyLog (она же Kratos), которая перехватывала не только логины и пароли, но и коды двухфакторной аутентификации. Отдельная кампания через сервис Energy365 рассылала сотни тысяч писем в сутки, используя образ CPА-бухгалтеров.
Отдельного внимания заслуживает атака на американские университеты. Там рассылались письма якобы от IRS с инструкцией скачать «Cryptocurrency Tax Form 1099» с доменов вроде
Вот в чём суть всей этой машинерии: конечная цель не кража паролей, а установка легитимных инструментов удалённого управления — RMM-программ. ScreenConnect, SimpleHelp, Datto — это софт, который корпоративные IT-отделы сами используют ежедневно. Антивирусы на него не реагируют. Службы безопасности видят его как «рабочий инструмент». Атакующие получают постоянный доступ к сети, который очень трудно обнаружить и ещё труднее атрибутировать. Исследователи Elastic Security Labs Дэниел Степаник и Салим Битам зафиксировали практику «цепочки RMM-инструментов»: злоумышленники последовательно устанавливают несколько разных программ, чтобы разбить телеметрию на фрагменты и не дать средствам защиты собрать полную картину инцидента.
Налоговая тематика — лишь один из векторов. Параллельно Microsoft Threat Intelligence и LevelBlue отслеживают волну атак через поддельные страницы Google Meet и Zoom, доставляющих Teramind (легитимный инструмент мониторинга сотрудников). Через тайпсквоттинговый домен
ZIP-архивы, маскирующиеся под AI-генераторы изображений, смены голоса, биржевые инструменты, моды для игр, VPN и эмуляторы, доставляют Salat Stealer, MeshAgent и майнеры криптовалюты. Целевая аудитория — США, Великобритания, Индия, Бразилия, Франция, Канада, Австралия. Ещё одна схема: пользователь получает «цифровое приглашение», попадает на фальшивую CAPTCHA от Cloudflare, которая запускает VBScript и PowerShell. Они подгружают.NET-загрузчик SILENTCONNECT с Google Drive, после чего на машину устанавливается ScreenConnect. Cloudflare здесь используется намеренно: автоматические сканеры безопасности страницу не видят, только живой человек.
Среди другой активности Microsoft Defender Security Research зафиксировал кампании с JavaScript-дропперами и PowerShell, запускающими доверенный системный процесс
Microsoft сформулировала конкретные рекомендации: двухфакторная аутентификация для всех без исключений, политики условного доступа, мониторинг и фильтрация входящей почты и посещаемых сайтов, блокировка известных вредоносных доменов включая
Изображение носит иллюстративный характер
Атаки строятся на простом психологическом расчёте: налоговый сезон в США создаёт естественную срочность. Люди ждут форм W2, уведомлений о возврате налогов, напоминаний о сроках подачи деклараций. Именно в этот момент приходит письмо о «нарушениях по вашему EFIN» (Electronic Filing Identification Number) с кнопкой «Скачать IRS Transcript View 5.1». Кто в марте откажется нажать?
Февральская кампания была построена на имитации IRS, которая якобы обнаружила подозрительные налоговые декларации, поданные под идентификационным номером электронной подачи пользователя. После клика жертва попадала на страницу, внешне неотличимую от официальной. Параллельно шли другие волны: письма с QR-кодами и формами W2, ведущие на фишинговые страницы Microsoft 365, построенные на платформе SneakyLog (она же Kratos), которая перехватывала не только логины и пароли, но и коды двухфакторной аутентификации. Отдельная кампания через сервис Energy365 рассылала сотни тысяч писем в сутки, используя образ CPА-бухгалтеров.
Отдельного внимания заслуживает атака на американские университеты. Там рассылались письма якобы от IRS с инструкцией скачать «Cryptocurrency Tax Form 1099» с доменов вроде
irs-doc[.]com и gov-irs216[.]net. После загрузки на машину попадал ScreenConnect или SimpleHelp. Бухгалтеров атаковали иначе: им писали с просьбой помочь с подачей документов, вшивая в ссылки установщик Datto. Около 100 организаций из производственного, розничного и медицинского секторов получили письма с QR-кодами. Вот в чём суть всей этой машинерии: конечная цель не кража паролей, а установка легитимных инструментов удалённого управления — RMM-программ. ScreenConnect, SimpleHelp, Datto — это софт, который корпоративные IT-отделы сами используют ежедневно. Антивирусы на него не реагируют. Службы безопасности видят его как «рабочий инструмент». Атакующие получают постоянный доступ к сети, который очень трудно обнаружить и ещё труднее атрибутировать. Исследователи Elastic Security Labs Дэниел Степаник и Салим Битам зафиксировали практику «цепочки RMM-инструментов»: злоумышленники последовательно устанавливают несколько разных программ, чтобы разбить телеметрию на фрагменты и не дать средствам защиты собрать полную картину инцидента.
Налоговая тематика — лишь один из векторов. Параллельно Microsoft Threat Intelligence и LevelBlue отслеживают волну атак через поддельные страницы Google Meet и Zoom, доставляющих Teramind (легитимный инструмент мониторинга сотрудников). Через тайпсквоттинговый домен
telegrgam[.]com распространяется троянизированный установщик с in-memory пейлоадом через DLL. Злоумышленники научились злоупотреблять правилами оповещений Microsoft Azure Monitor, рассылая callback-фишинг (счета-фактуры) с настоящих адресов Microsoft — такие письма проходят через спам-фильтры без проблем. Через фиктивные URL-редиректы сервисов Avanan, Barracuda, Proofpoint, Mimecast, Cisco, Bitdefender, Sophos, Trend Micro и INKY скрываются вредоносные ссылки. Новые кампании уже «состёгивают» несколько таких переписанных URL в цепочку. ZIP-архивы, маскирующиеся под AI-генераторы изображений, смены голоса, биржевые инструменты, моды для игр, VPN и эмуляторы, доставляют Salat Stealer, MeshAgent и майнеры криптовалюты. Целевая аудитория — США, Великобритания, Индия, Бразилия, Франция, Канада, Австралия. Ещё одна схема: пользователь получает «цифровое приглашение», попадает на фальшивую CAPTCHA от Cloudflare, которая запускает VBScript и PowerShell. Они подгружают.NET-загрузчик SILENTCONNECT с Google Drive, после чего на машину устанавливается ScreenConnect. Cloudflare здесь используется намеренно: автоматические сканеры безопасности страницу не видят, только живой человек.
Среди другой активности Microsoft Defender Security Research зафиксировал кампании с JavaScript-дропперами и PowerShell, запускающими доверенный системный процесс
Aspnet_compiler.exe для инъекции XWorm 7.1. Также фиксируются бесфайловые заражения Remcos RAT и атаки с NetSupport RAT через схемы ClickFix. Мошеннический сайт под брендом Avast ворует данные банковских карт у франкоязычных пользователей. Злоупотребление Microsoft Application Registration Redirect URIs через домен login.microsoftonline[.]com позволяет обходить спам-фильтры и красть учётные данные вместе с 2FA-кодами. Microsoft сформулировала конкретные рекомендации: двухфакторная аутентификация для всех без исключений, политики условного доступа, мониторинг и фильтрация входящей почты и посещаемых сайтов, блокировка известных вредоносных доменов включая
smartvault[.]im. Отдельно специалисты настаивают на постоянном аудите корпоративной среды на предмет несанкционированного RMM-программного обеспечения — именно этот пункт большинство компаний игнорирует, пока не становится поздно.
