Netcrook Logo
👤 CRYSTALPROXY
🗓️ 23 Mar 2026   🌍 North America

Saison des impôts piégée : 29 000 utilisateurs piégés dans une vaste campagne de phishing sophistiquée se faisant passer pour l’IRS

Les attaquants exploitent l’anxiété liée à la période fiscale pour déployer des malwares à distance, ciblant des milliers de personnes avec de faux emails de l’IRS et des stratagèmes de vol d’identifiants.

Alors que des millions d’Américains s’empressent de respecter les délais fiscaux, les cybercriminels orchestrent une frénésie de phishing qui exploite les peurs financières et la confiance dans les communications officielles. Dans une nouvelle vague d’attaques glaçante, Microsoft a découvert une campagne tentaculaire usurpant l’identité de l’IRS, piégeant plus de 29 000 utilisateurs au sein de 10 000 organisations grâce à un mélange d’ingénierie sociale et de logiciels malveillants furtifs.

Ces campagnes de phishing sont minutieusement synchronisées pour un impact maximal, exploitant l’urgence de la saison fiscale et l’échange routinier de documents sensibles. Les attaquants rédigent des emails semblant provenir de l’IRS, de professionnels de la fiscalité ou de services de paie, incitant les victimes à ouvrir des pièces jointes malveillantes ou à cliquer sur des liens promettant des remboursements ou exigeant une action immédiate sur de prétendues irrégularités.

Une opération particulièrement audacieuse, détectée le 10 février 2026, a utilisé l’infrastructure email d’Amazon pour diffuser de fausses notifications de l’IRS. Les messages avertissaient les destinataires de déclarations fiscales potentiellement frauduleuses déposées sous leur numéro d’identification de dépôt électronique (EFIN), les incitant à télécharger un faux « IRS Transcript Viewer ». Cette ruse redirigeait les utilisateurs vers un site contrefait se faisant passer pour SmartVault - une plateforme de gestion documentaire de confiance - où les victimes installaient à leur insu ScreenConnect, un outil RMM légitime détourné à des fins cybercriminelles.

Ne se contentant pas d’appâts génériques, les attaquants ont également ciblé les comptables, les professionnels de la finance et même les établissements d’enseignement supérieur. Certaines campagnes utilisaient des QR codes ou de faux « formulaires W2 » pour dérober des identifiants, tandis que d’autres proposaient de faux formulaires fiscaux sur les cryptomonnaies. L’objectif restait le même : récolter adresses email, mots de passe et même codes d’authentification à deux facteurs, puis exploiter les logiciels RMM pour maintenir un accès discret et durable aux systèmes compromis.

Les équipes de renseignement sur les menaces de Microsoft ont également observé une forte augmentation des plateformes de « Phishing-as-a-Service » (PhaaS) telles qu’Energy365 et SneakyLog, qui automatisent la création et la diffusion de sites de phishing convaincants. Ces kits envoient chaque jour des centaines de milliers d’emails malveillants, facilitant le lancement de campagnes à grande échelle par des attaquants moins expérimentés.

Les chercheurs en sécurité avertissent que les outils RMM, couramment utilisés par les équipes informatiques légitimes, sont souvent négligés par les équipes de sécurité - rendant leur détournement par des attaquants particulièrement dangereux. Selon Huntress, l’utilisation des RMM dans la cybercriminalité a bondi de 277 % en un an, soulignant la nécessité d’une surveillance vigilante et de contrôles d’accès stricts.

Avec des attaques de phishing de plus en plus sophistiquées et exploitant des logiciels de confiance, les organisations sont invitées à appliquer l’authentification multifacteur, à examiner attentivement les emails entrants, à restreindre l’accès aux domaines malveillants connus et à auditer régulièrement l’utilisation non autorisée des outils RMM. Alors que la saison fiscale bat son plein, la frontière entre activité professionnelle normale et tromperie numérique n’a jamais été aussi mince.

WIKICROOK

  • Phishing : Le phishing est une cybercriminalité où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Surveillance et gestion à distance (RMM) : La surveillance et gestion à distance (RMM) regroupe des outils informatiques permettant aux professionnels de contrôler, surveiller et maintenir à distance des ordinateurs - utiles pour le support, mais risqués en cas d’abus.
  • Phishing : Le phishing est une cybercriminalité où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Deux : L’authentification à deux facteurs (2FA) est une méthode de sécurité nécessitant deux types d’identification différents pour accéder à un compte, rendant le piratage plus difficile.
  • Vol d’identifiants : Le vol d’identifiants consiste à dérober des informations de connexion, telles que noms d’utilisateur et mots de passe, souvent via de faux sites web ou des emails trompeurs.
Phishing IRS Scam Credential Theft
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news