Microsoft Warns IRS Phishing Hits 29,000 Users, Deploys RMM Malware

1 minute de lecture

Mis à jour : March 23, 2026

Recrudescence des campagnes de phishing liées à la saison fiscale

Microsoft alerte sur une multiplication des campagnes d’hameçonnage exploitant la période de déclaration d’impôts aux États-Unis. Ces attaques ciblent aussi bien les particuliers que les professionnels de la comptabilité pour dérober des identifiants ou installer des logiciels malveillants.

Points clés :

Tactiques diversifiées : Utilisation de formulaires de remboursement, de rappels de déclaration ou de fausses notifications d’erreurs d’identification (EFIN).
Abus d’outils légitimes : Les attaquants déploient des outils de gestion à distance (RMM) tels que ConnectWise ScreenConnect, Datto ou SimpleHelp pour maintenir un accès persistant. L’usage malveillant de ces outils a bondi de 277 % en un an.
Campagne massive : Une campagne récente a touché plus de 29 000 utilisateurs au sein de 10 000 organisations, utilisant des e-mails envoyés via Amazon SES pour rediriger les victimes vers des domaines frauduleux.
Infrastructure d’attaque : Recours aux plateformes de type Phishing-as-a-Service (Energy365, SneakyLog/Kratos) et utilisation détournée de services comme Cloudflare pour contourner les outils de scan automatisés.

Vulnérabilités et vecteurs :

Le rapport ne mentionne pas de CVE spécifique, mais souligne l’exploitation de la confiance accordée aux outils RMM légitimes par les services IT.
Techniques de contournement : usage de QR codes, usurpation d’identité (IRS, Microsoft, SmartVault), réécriture d’URL multiples (chaining) pour échapper aux filtres, et utilisation de sites typosquattés ou de redirections OAuth.

Recommandations :

Authentification : Appliquer systématiquement la double authentification (2FA) sur tous les comptes.
Contrôle d’accès : Mettre en œuvre des politiques d’accès conditionnel.
Surveillance : Auditer activement l’environnement informatique pour détecter et bloquer toute utilisation non autorisée d’outils RMM.
Filtrage : Renforcer l’analyse des e-mails entrants et bloquer l’accès aux domaines malveillants identifiés.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Microsoft Warns IRS Phishing Hits 29,000 Users, Deploys RMM Malware

Recrudescence des campagnes de phishing liées à la saison fiscale

Partager sur

Vous pourriez aimer

⚡ Weekly Recap: CI/CD Backdoor, FBI Buys Location Data, WhatsApp Ditches Numbers & More

Panorama Hebdomadaire des Menaces : Supply Chain, Botnets et Failles Critiques

We Found Eight Attack Vectors Inside AWS Bedrock. Heres What Attackers Can Do with Them

Vecteurs d’attaque et risques de sécurité dans AWS Bedrock

Varonis Atlas: Securing AI and the Data That Powers It

Sécurisation intégrale de l’IA avec Varonis Atlas

Trivy supply-chain attack spreads to Docker, GitHub repos

Compromission de la chaîne d’approvisionnement d’Aqua Security par TeamPCP