サイバー犯罪者は、グローバルな税務申告シーズンを再び悪用し、IRS(米国内国歳入庁)および税務申告詐欺を悪用してマルウェア、リモートモニタリング・管理(RMM)ツール、および認証情報フィッシング詐欺を配布する2026年の新たなキャンペーン波を展開しています。
セキュリティ研究者はすでに世界中で百以上の税務テーマ別操作を追跡しており、正当なRMMソフトウェアの使用がステルスアクセスベクトルとして目立つ増加を示しています。
脅威アクターは、ユーザーが税務機関、人事部、銀行、給与計算プロバイダー、税務プラットフォームからのメールを予想していることを認識し、税務申告に関する圧力と緊急性を利用しています。
一般的な社会工学的手口には、偽のIRS通知、税務書類の有効期限警告、疑わしい税務違反、および申告やリファンド対応のサポート要求が含まれます。
多くのキャンペーンはIRSブランドのメールを通じて米国の納税者を対象としていますが、最近のアクティビティはカナダ、オーストラリア、スイス、日本、およびその他の地域のユーザーを地域化された税務ブランドと言語で対象としています。
Proofpointは税務テーマ別キャンペーンを観測しており、Datto、N-Able、RemotePC、Zoho Assist、ScreenConnectなどのRMMを配布しています。
ペイロードは、コモディティマルウェア、RMMエージェント、情報スティーラー、および金融投資サービスに関連する純粋な認証情報収集ページに及んでいます。
メールボリュームは、高度にターゲット化されたスピアフィッシング波から数万件のメッセージの大量メーリングまでの範囲であり、アクターの目標に依存しています。
これらのツールは署名され、企業で広く使用され、セキュリティコントロールを通じて許可されることが多いため、許可リストと監視が弱い場合、悪意のある展開は通常のIT活動に紛れ込む可能性があります。
2026年2月の例では、攻撃者は米国内国歳入庁(IRS)になりすまし、「最近のIRS申告」に関するメールを送信し、「トランスクリプトビューア」ボタンを含んでいました。
リンクはホスティングサービスにリダイレクトされ、ユーザーは、RMMエージェントを静かにインストールする実行可能ファイルをダウンロードできました。これにより、攻撃者に永続的なリモートアクセスが与えられました。
信頼性を向上させるため、フィッシャーは実際のIRS電話番号をメッセージに挿入してさえいました。このタクティックは、信頼されたブランドを悪用するキャンペーン全体でますます見られています。
新しい経済的動機をもつアクターTA4922は、主に日本および他の東アジア諸国を対象とした税務テーマ別キャンペーンにリンクされています。
このグループの目標は、後続の詐欺、データ盗難、またはアクセス仲介のためのリモートアクセスを確保することであり、しばしばWinos 4.0マルウェア(ValleyRAT)エコシステムを使用しています。これは中国語を話すSilver Fox(別名Void Arachne)クラスターに関連付けられています。
信頼が確立されると、アクターは悪意のあるリンクまたは実行可能ファイルの送信にエスカレートします。これらは、現在も分析中のステーラーおよびローダーをドロップし、日本およびインド、台湾、インドネシア、マレーシア、イタリアを含む他の国の「国税庁」になりすましています。
TA4922は国家税務当局になりすまし、携帯電話番号を要求する短いメールで接触を開始し、ユーザーをSMSやメッセージングアプリなどのアウトオブバンドチャネルに移動させようとします。
認証情報フィッシング詐欺アクターTA2730は、米国W-8BEN税務フォームを複数地域の投資プラットフォーム顧客に対する詐欺として継続的に悪用しています。
このグループは投資会社からのメッセージになりすましたメールを送信し、受信者にアカウント準拠を維持するためにW-8BEN詳細を更新するよう促します。
埋め込まれたURLは、SwissquoteやQuesttradeなどのブランドの非常に説得力のあるカウンターフェイトログインポータルに導き、ユーザーは知らないうちに認証情報を直接攻撃者に送信します。
2026年初頭に観測されたキャンペーンはスイスとカナダのユーザーをヒットし、場合によってはメールに詐欺されたビジネスの正当なカスタマーサービス電話番号が含まれ、信頼が向上しました。
W-2およびHRテーマ別のBEC詐欺
ビジネスメール侵害(BEC)アクターは、企業のHRおよび財務スタッフを対象とした社会工学的手口においてW-2およびW-9などの税務フォームを悪用しています。
典型的なシナリオでは、攻撃者は幹部のディスプレイ名になりすまし、緊急に前年度のすべての従業員W-2フォームを要求し、監査または給与計算期限を主張しています。
これらのフォームには、名前、住所、社会保障番号、および所得データが含まれており、身元詐欺および銀行詐欺のために再販または再利用できます。
BEC操作はしばしば純粋に社会工学的手口とデータ盗難に依存しており、従来のセキュリティツールが検出するための技術的なインジケータが少なくなっています。
税務および金融関連の社会工学的手口は一年中効果的ですが、ユーザーが複数の金融サービスおよび公式ポータルを扱うため、アクティビティは申告期限周辺でスパイクします。
セキュリティチームは、RMMツーリングの制御を厳しくし、リモートアクセスエージェント向けに厳密な許可リストと動作監視を実装し、ScreenConnectのようなツールの新たな展開が予想され、承認されていることを確認する必要があります。
組織はまた、税務シーズンの前に焦点を絞った認識キャンペーンを実行し、スタッフに不要な税務メール、予期しないフォームリクエスト、および外部データ需要を慎重に扱うように、および既知の良いチャネルを通じてリクエストを検証するように教育する必要があります。
最後に、メールセキュリティ、Webフィルタリング、金融投資アカウント向けのMFA、および異常なRMM使用法の強力な検出を組み合わせた層状防御は、これらの進化するキャンペーンからのリスクを大幅に低減することができます。
翻訳元: https://gbhackers.com/tax-filing-scams/
