Steuersaison als Angriffsfläche: Phishing-Kampagnen und Malware-Wellen im Überblick

Jedes Jahr im Frühjahr steigt das Volumen steuerbezogener E-Mails sprunghaft an – und Cyberkriminelle nutzen dieses vorhersehbare Muster gezielt aus. Microsoft Threat Intelligence hat in den ersten Monaten des Jahres 2026 eine Reihe von Kampagnen identifiziert, die mit täuschend echten Steuerködern arbeiten, um Anmeldedaten zu stehlen oder Fernzugriffssoftware auf Zielsystemen zu installieren. Die Angriffe zeigen dabei ein hohes Maß an technischer Raffinesse und nutzen zunehmend legitime Infrastruktur, um einer automatisierten Erkennung zu entgehen.

Grundlegendes Muster

Die beobachteten Angriffe nutzten die zeitliche Dringlichkeit der Steuersaison und setzten auf vertraute Formate: Rückerstattungsbescheide, Lohnformulare, W-2-Dokumente und Behördenkommunikation. Dabei richteten sich die Kampagnen sowohl an Privatpersonen als auch gezielt an Steuerberater und Wirtschaftsprüfer, die regelmäßig mit sensiblen Finanzdokumenten arbeiten und in dieser Jahreszeit ohnehin ein erhöhtes E-Mail-Aufkommen zu steuerbezogenen Themen gewohnt sind – was sie zu besonders lohnenden Zielen macht.

Zwei Angriffsziele standen im Vordergrund:

• Anmeldedaten-Diebstahl über Phishing-as-a-Service-Plattformen (PhaaS), die MFA-Bypass-Funktionen integrieren und auf maßgeschneiderte Köder setzen
• Malware-Verteilung über legitime Remote-Monitoring-und-Management-Tools (RMM), die Angreifer als Fernzugriffs-Trojaner missbrauchen, um dauerhaften Zugang zu kompromittierten Systemen zu erhalten

Ein übergreifendes Merkmal nahezu aller Kampagnen war die Nutzung legitimer Dienste und Infrastruktur – von Amazon SES über OneDrive bis hin zu Eventbrite – um Reputationsfilter zu umgehen und Vertrauen zu erzeugen.

Kampagne 1: CPA-Köder mit Energy365-Phishing-Kit

Zwischen dem 5. und 6. Februar 2026 wurden mehrere hundert E-Mails mit dem Betreff „See Tax file“ verschickt, die sich an Branchen wie Finanzdienstleistungen, Bildung, IT, Versicherungen und das Gesundheitswesen in den USA richteten. Die E-Mails enthielten einen Excel-Anhang, der den echten Namen eines Buchhalters trug – offenbar ohne dessen Wissen missbraucht.

Die Angriffskette verlief bewusst mehrstufig, um automatisierte Analysesysteme zu erschweren:

• Der Anhang enthielt eine Schaltfläche „Review Documents“, die zu einer auf OneDrive gehosteten OneNote-Datei führte
• Die OneNote-Datei setzte die Täuschung mit dem Namen und Logo desselben Buchhalters fort
• Erst von dort führte ein weiterer Link zur eigentlichen Phishing-Landingpage des Energy365-Kits, auf der Zugangsdaten wie E-Mail-Adresse und Passwort abgegriffen werden sollten

Energy365 gilt als eines der verbreitetsten Phishing-Kits weltweit und ermöglicht laut Microsoft täglich Hunderttausende von Phishing-E-Mails. Die Besonderheit dieser Kampagne lag in der ungewöhnlich gezielten Anpassung aller Köder an das Umfeld von Steuerberatern – von der Betreffzeile bis zur finalen Phishing-Seite. Andere Akteure, die dasselbe Kit nutzen, setzen in der Regel auf generischere Inhalte.

Kampagne 2: Personalisierter QR-Code in W-2-Formular führt zu SneakyLog

Am 10. Februar 2026 wurden rund 100 Organisationen aus den Bereichen Fertigung, Einzelhandel und Gesundheitswesen angeschrieben. Der Anhang – ein Word-Dokument mit dem Dateinamen „2025_Employee_W-2 .docx“ – enthielt neben steuerbezogenem Fließtext einen QR-Code, hinter dem sich eine Phishing-URL verbarg.

Bemerkenswert war das Maß an Individualisierung: Jede E-Mail wurde einzeln angepasst, das Dokument enthielt den Namen des jeweiligen Empfängers, und auch die hinter dem QR-Code verborgene URL war um die persönliche E-Mail-Adresse des Ziels ergänzt. Jeder Empfänger erhielt damit technisch gesehen einen einzigartigen Anhang – ein Ansatz, der signaturbasierte Erkennungssysteme erheblich erschwert.

Die verlinkte Seite ahmte die Anmeldeseite von Microsoft 365 nach und basierte auf der PhaaS-Plattform SneakyLog, auch bekannt als Kratos. Diese Plattform ist seit mindestens Anfang 2025 aktiv, wird als Abonnementdienst vertrieben und ist in der Lage, sowohl Passwörter als auch Zwei-Faktor-Authentifizierungsdaten abzugreifen. Auch wenn SneakyLog nicht die Reichweite von Energy365 hat, ist die Plattform in der Bedrohungslandschaft kontinuierlich präsent.

Kampagne 3: 1099-Formular-Thematik verbreitet ScreenConnect

Im Januar und Februar 2026 wurden zunächst mehrere Domains mit steuerbezogenen Schlüsselwörtern wie „tax“ und „1099form“ registriert, die zudem Namen bekannter Unternehmen aus den Bereichen Buchhaltung, Steuerberatung und Finanzen imitierten. Zwischen dem 8. und 10. Februar folgten mehrere hundert E-Mails mit Betreffzeilen wie „Ihr Formular 1099-R ist bereit“.

Die Nachricht enthielt eine Schaltfläche „Steuerformulare anzeigen“, die über eine Weiterleitungskette aus zwei Domains schließlich zum Download einer ausführbaren Datei führte. Bei der Payload handelte es sich um ScreenConnect, ein legitimes Remote-Monitoring-Tool von ConnectWise. Das für die Datei verwendete Code-Signaturzertifikat wurde inzwischen vom Aussteller wegen massiven Missbrauchs widerrufen.

Der Missbrauch von RMM-Tools wie ScreenConnect hat sich in den vergangenen Jahren zu einer festen Technik in der Angreiferpraxis entwickelt: Da es sich um legitime, signierte Software handelt, wird sie von vielen Sicherheitslösungen zunächst nicht als Schadcode eingestuft. Nach der Installation können Angreifer das betroffene Gerät vollständig fernsteuern, Daten entwenden und weitere Aktivitäten durchführen.

Kampagne 4: IRS-Imitierung mit Kryptowährungs-Köder verbreitet SimpleHelp

Am 23. und 27. Februar wurden mehrere tausend E-Mails ausschließlich an US-amerikanische Empfänger verschickt – mit einem technisch ungewöhnlichen Merkmal: Statt eines anklickbaren Links enthielten die Nachrichten eine URL, die manuell in den Browser kopiert werden musste. Diese bewusste Reibung im Angriffsprozess diente dem Ziel, automatisierte Link-Scanner und Sicherheitssysteme zu umgehen, die aktive Hyperlinks überprüfen.

Die E-Mails nutzten die Eventbrite-Plattform als Versandinfrastruktur und gaben sich mit verschiedenen Absendernamen als IRS-Kommunikation aus. Das Thema kombinierte IRS-Behördensprache mit Kryptowährungs-Bezug – „Cryptocurrency Tax Form 1099 is Ready“ – und sprach damit eine besonders breite Zielgruppe an. Nach dem Öffnen der URL wurde je nach Kampagnentag entweder ScreenConnect oder SimpleHelp heruntergeladen.

SimpleHelp ist ein weiteres legitimes Fernverwaltungstool, das Angreifer zunehmend als Alternative zu ScreenConnect einsetzen. Der Hintergrund: ConnectWise hat zuletzt verstärkt Maßnahmen gegen den Missbrauch seiner Software ergriffen, was Angreifer dazu veranlasst, auf weniger regulierte Tools auszuweichen.

Kampagne 5: Datto-Malware über täuschend echten CPA-Gesprächseinstieg

Eine weitere Variante richtete sich gezielt an Wirtschaftsprüfungsgesellschaften sowie verwandte Branchen wie Finanzdienstleistungen, Rechtsberatung und Versicherungen. Am 9. März 2026 wurden rund 1.000 E-Mails mit dem Betreff „REQUEST FOR PROFESSIONAL TAX FILLING“ versendet.

Die Nachrichten enthielten eine detailliert ausgearbeitete Hintergrundgeschichte, die eine komplexe Steuersituation schilderte: Steuerprüfungen, Studiengebühren, Darlehenszinsen und Einkünfte aus Immobilien wurden erwähnt. Ergänzt wurde die Geschichte durch eine Erklärung, warum der vermeintliche Mandant nicht persönlich erscheinen könne – ein klassisches Element des Social Engineerings, das Vertrauen aufbauen und eine Anfrage per E-Mail plausibel machen soll. An verschiedenen Kampagnentagen wurden Variationen der Geschichte eingesetzt, darunter ein Buchhalter-Wechsel wegen Gebührenerhöhungen.

Der enthaltene Link führte zunächst auf eine über den kostenlosen Hosting-Dienst carrd.co erstellte Seite, von dort über einen URL-Kürzungsdienst zur eigentlichen Zielseite. Diese Weiterleitungskette aus seriösen Zwischenstationen sollte die reputationsbasierte Erkennung unterlaufen. Am Ende stand der Download einer ausführbaren Datei, die das RMM-Tool Datto enthielt – ein weiteres legitimes Produkt, das zunehmend für Angriffszwecke missbraucht wird.

Kampagne 6: Groß angelegte ScreenConnect-Verteilung über gefälschte IRS-Behörden-E-Mails

Die umfangreichste der beobachteten Kampagnen wurde am 10. Februar 2026 in zwei Sendewellen innerhalb von neun Stunden ausgeliefert. Mehr als 29.000 Empfänger in 10.000 Organisationen – zu 95 Prozent in den USA – erhielten E-Mails, die vorgaben, vom IRS zu stammen. Die am häufigsten betroffenen Sektoren waren Finanzdienstleistungen (19 %), Technologie und Software (18 %) sowie Einzelhandel und Konsumgüter (15 %). Eine Analyse der Empfängerprofile legte nahe, dass die Kampagne gezielt auf Buchhalter und Steuerberater ausgerichtet war.

Die Nachrichten behaupteten, unter der Electronic Filing Identification Number (EFIN) des Empfängers seien unregelmäßige Steuererklärungen eingereicht worden. Die Empfänger wurden aufgefordert, einen „IRS Transcript Viewer 5.1″ herunterzuladen, um die genannten Vorgänge zu überprüfen. Die E-Mails wurden über Amazon SES versendet und nutzten 14 verschiedene IRS-bezogene Absenderidentitäten sowie 49 unterschiedliche Betreffzeilen, um signaturbasierte Erkennungssysteme zu umgehen.

Die Klick-Kette verlief über eine Amazon-SES-Tracking-URL zu einer Lookalike-Domain, die den bekannten Steuer- und Dokumentenverwaltungsdienst SmartVault imitierte. Die Phishing-Seite setzte zusätzlich Cloudflare-Bot-Erkennung ein: Nur Besucher, die als menschliche Nutzer eingestuft wurden, erhielten die eigentliche Payload. Alle anderen – Crawler, Sandboxes, automatisierte Analysesysteme – landeten auf einer neutralen Blockierungsseite.

Wer die Prüfung bestand, sah zunächst eine animierte „Verifizierungs“-Maske, die den Eindruck einer IRS-Echtheitsprüfung erweckte, bevor der Download automatisch startete. Die heruntergeladene Datei „TranscriptViewer5.1.exe“ war kein IRS-Tool, sondern eine böswillig umverpackte Version von ScreenConnect. Nach der Ausführung konnten Angreifer das System vollständig fernsteuern und für Datendiebstahl, das Abgreifen weiterer Zugangsdaten oder nachgelagerte Angriffe nutzen.

Schutzmaßnahmen im Überblick

Microsoft empfiehlt folgende Gegenmaßnahmen für Unternehmen und Einzelpersonen:

• Automatische Angriffsabwehr in Microsoft Defender XDR aktivieren, um laufende Angriffe einzudämmen und Sicherheitsteams Reaktionszeit zu verschaffen
• Multi-Faktor-Authentifizierung (MFA) für alle Konten verpflichtend einrichten, Ausnahmen entfernen und durch Richtlinien für bedingten Zugriff ergänzen – insbesondere für privilegierte Konten mit phishing-resistenter MFA
• Microsoft Authenticator mit Passkey-Unterstützung einsetzen, um die Widerstandsfähigkeit gegen Anmeldedaten-Diebstahl zu erhöhen
• Zero-Hour Auto Purge (ZAP) in Office 365 aktivieren, um bereits zugestellte Phishing-Nachrichten nachträglich aus Postfächern zu entfernen
• Microsoft Defender für Office 365 Safe Links konfigurieren, damit URLs beim Klicken erneut geprüft werden – auch in Teams, SharePoint und anderen Microsoft-Anwendungen
• Netzwerkschutz aktivieren, der den Zugriff auf bekannte Schaddomains auf Systemebene blockiert
• Microsoft Edge oder andere Browser mit SmartScreen-Unterstützung einsetzen, die Phishing-Seiten und malwareverteilende Domains automatisch identifizieren und sperren
• Investitionen in Anti-Phishing-Lösungen, die eingehende E-Mails, Links und Anhänge proaktiv scannen und verdächtige Inhalte blockieren, bevor sie die Endnutzer erreichen

Weiterlesen

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk