Netcrook Logo
👤 CRYSTALPROXY
🗓️ 23 Mar 2026   🌍 North America

La stagione delle tasse diventa una trappola: 29.000 utenti finiti in un sofisticato blitz di phishing a tema IRS

Gli aggressori sfruttano l’ansia del periodo fiscale per distribuire malware da remoto, colpendo migliaia di persone con email IRS false e schemi di furto di credenziali.

Mentre milioni di americani si affannano per rispettare le scadenze fiscali, i cybercriminali stanno orchestrando una frenesia di phishing che fa leva su paure finanziarie e fiducia nelle comunicazioni ufficiali. In una nuova e inquietante ondata di attacchi, Microsoft ha scoperto una vasta campagna che impersona l’IRS, intrappolando oltre 29.000 utenti in 10.000 organizzazioni con un mix di ingegneria sociale e malware furtivo.

Queste campagne di phishing sono calibrate con meticolosità per massimizzare l’impatto, sfruttando l’urgenza della stagione fiscale e lo scambio abituale di documenti sensibili. Gli aggressori confezionano email che sembrano provenire dall’IRS, da professionisti fiscali o da uffici paghe, attirando le vittime ad aprire allegati malevoli o a cliccare link che promettono rimborsi o richiedono un’azione immediata su presunte irregolarità.

Un’operazione particolarmente audace, rilevata il 10 febbraio 2026, ha sfruttato l’infrastruttura email di Amazon per distribuire false notifiche IRS. I messaggi avvertivano i destinatari di dichiarazioni dei redditi potenzialmente fraudolente presentate con il loro Electronic Filing Identification Number (EFIN), invitandoli a scaricare un finto “IRS Transcript Viewer”. Questo stratagemma reindirizzava gli utenti a un sito contraffatto che si spacciava per SmartVault - una piattaforma affidabile di gestione documentale - dove le vittime installavano inconsapevolmente ScreenConnect, un legittimo strumento RMM riadattato per il cybercrimine.

Non soddisfatti di esche generiche, gli aggressori hanno preso di mira anche contabili, professionisti della finanza e perfino istituti di istruzione superiore. Alcune campagne hanno usato codici QR o “moduli W2” per carpire credenziali, mentre altre offrivano falsi moduli fiscali sulle criptovalute. L’obiettivo di fondo restava costante: raccogliere indirizzi email, password e persino codici di autenticazione a due fattori, quindi sfruttare software RMM per mantenere un accesso a lungo termine, non rilevato, ai sistemi compromessi.

I team di threat intelligence di Microsoft hanno inoltre osservato un forte aumento delle piattaforme “Phishing-as-a-Service” (PhaaS) come Energy365 e SneakyLog, che automatizzano la creazione e la distribuzione di siti di phishing convincenti. Questi kit inviano ogni giorno centinaia di migliaia di email malevole, rendendo più facile anche per aggressori meno sofisticati lanciare campagne su larga scala.

I ricercatori di sicurezza avvertono che gli strumenti RMM, comunemente usati dal personale IT legittimo, spesso sfuggono all’attenzione dei team di sicurezza - rendendone l’abuso da parte degli aggressori particolarmente pericoloso. Secondo Huntress, l’uso di RMM nel cybercrimine è aumentato del 277% anno su anno, evidenziando la necessità di un monitoraggio vigile e di controlli di accesso rigorosi.

Con attacchi di phishing sempre più sofisticati e capaci di sfruttare software affidabili, alle organizzazioni viene raccomandato di imporre l’autenticazione a più fattori, esaminare con attenzione le email in arrivo, limitare l’accesso a domini noti come malevoli e verificare regolarmente l’uso non autorizzato di RMM. Con il proseguire della stagione fiscale, il confine tra normale operatività e inganno digitale non è mai stato così sottile.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare link malevoli.
  • Remote Monitoring and Management (RMM): Il Remote Monitoring and Management (RMM) comprende strumenti IT che consentono ai professionisti di controllare, monitorare e mantenere i computer da remoto - utili per l’assistenza, ma rischiosi se usati impropriamente.
  • Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare link malevoli.
  • Two: L’autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi tipi di identificazione per accedere a un account, rendendo più difficile l’hacking.
  • Credential Harvesting: Il credential harvesting è il furto di dati di accesso, come nomi utente e password, spesso tramite siti web falsi o email ingannevoli.
Phishing IRS Scam Credential Theft
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news