L'escroquerie fiscale RAT cible les cabinets d'experts-comptables

Pendant la saison des impôts, les cabinets comptables, qui sont souvent très occupés et surchargés de travail, deviennent des cibles de choix pour les cyberattaques. "L'un des stratagèmes les plus insidieux est l'escroquerie fiscale RAT (Remote Access Trojan), qui s'appuie sur l'ingénierie sociale et les malwares pour voler des informations d'identification essentielles et des données sensibles sur les clients." Poursuivez votre lecture pour découvrir les mécanismes de l'escroquerie fiscale RAT, examiner les techniques utilisées par les attaquants et obtenir des conseils pour se défendre contre de telles menaces.

L'épée à double tranchant de la saison des impôts 

Pour de nombreux Américains, la saison des impôts est synonyme de soulagement (ou d'effroi), selon qu'il s'agit de remboursements ou de cotisations. Mais pour les comptables, cette ruée annuelle est synonyme de longues heures à jongler avec une charge de travail importante et des délais serrés. Pendant cette période, les cabinets comptables réalisent souvent une part importante de leur chiffre d'affaires annuel, tout en gérant un afflux de déclarations régulières et de nouveaux clients à la recherche d'une assistance. 

Malheureusement, cette période de stress offre une opportunité aux cybercriminels, qui profitent des distractions typiques de la saison des impôts pour lancer des attaques. 

Pourquoi les comptables sont des cibles privilégiées 

Les comptables sont des cibles intéressantes en raison de leur accès aux systèmes financiers et aux IPI (informations personnelles identifiables). Qu'il s'agisse de petits cabinets d'experts-comptables ou de multinationales de la comptabilité, les récompenses des cybercriminels sont immenses. Le risque est d'autant plus grand que la saison des impôts est souvent l'occasion de générer de nouvelles affaires, ce qui rend les comptables plus enclins à faire confiance à des demandes apparemment légitimes de la part de clients potentiels. 

Qu'est-ce que l'escroquerie fiscale RAT ? 

Au cœur de ce système se trouve l'utilisation de chevaux de Troie d'accès à distance (RAT). Les RAT sont des programmes malware avancés qui, une fois téléchargés, permettent aux attaquants de prendre le contrôle de l'appareil d'une victime. Cela leur permet de surveiller l'activité en temps réel, d'enregistrer les frappes au clavier et de faire des captures d'écran. L'objectif final ? Accéder à des comptes sensibles ou à des données de clients. 

Ce qui rend les RAT particulièrement dangereux, c'est leur nature furtive. Une fois actives, elles opèrent en arrière-plan, souvent sans être détectées par l'utilisateur.

Comment fonctionne l'escroquerie fiscale du RAT 

Étape 1 : L'e-mail d'appât 

Les acteurs de la menace commencent par rechercher des comptables et trouvent leurs adresses électroniques dans des sources publiques ou des bases de données piratées. Munis de ces informations, ils envoient un premier courriel de demande de renseignements qui semble légitime, en se faisant généralement passer pour un client potentiel. 

Par exemple, un escroc peut prétendre que leur comptable habituel a pris sa retraite et qu'ils ont besoin d'une aide urgente pour remplir leurs déclarations de revenus. L'e-mail ne contient aucun lien ou pièce jointe malveillante, ce qui le fait paraître inoffensif et permet de contourner les filtres de sécurité du courrier électronique. 

Exemple d'une campagne en cours Mimecast s'est arrêté :

Dans la seconde moitié de février 2025, Mimecast a détecté une augmentation significative de l'ingénierie sociale ciblant les cabinets d'experts-comptables. 

Les escrocs gardent souvent leur charge utile pour des courriels ultérieurs. Ils proposent de joindre les documents fiscaux antérieurs dans la correspondance de suivi. À ce stade, il s'agit surtout de tester la réceptivité des comptables. 

Étape 2 : Accrocher la cible 

Les comptables, désireux de profiter d'un nouveau client pendant leur période la plus chargée, répondent souvent rapidement. À ce stade, ils ont été "accrochés" - l'attaquant a maintenant leur confiance. 

Étape 3 : Le suivi malveillant 

L'auteur de la menace envoie un deuxième courriel prétendant contenir les documents promis (par exemple, des déclarations de revenus ou des pièces d'identité antérieures). Le deuxième courriel contient un fichier malveillant dont le nom est trompeur : "ClientTaxDocument.pdf.exe". 

Le fichier peut mener à un site d'hébergement partagé, tel que mega.nz, afin d'obscurcir davantage ses intentions. Une fois téléchargé, le fichier exécute un malware tel que ScreenConnect, un outil qui facilite le contrôle à distance de l'appareil de la victime. 

Une configuration trompeuse 

Une variante de cette attaque comprend même un enregistrement fabriqué du comptable précédent de la victime ( ")." Ce niveau d'ingénierie sociale crée l'illusion d'une légitimité, incitant les utilisateurs peu méfiants à activer le malware. 

Étape 4 : Accès à distance et violation de données 

Une fois que le RAT est actif, l'attaquant commence à récolter des données. Il peut s'agir d'identifiants de connexion, d'informations confidentielles sur le client (numéros de sécurité sociale, dossiers financiers, etc.) et même des codes d'accès au système du comptable. 

Les attaquants peuvent également utiliser ScreenConnect pour déployer d'autres malware, tels que des voleurs d'informations ou des ransomware. Ces derniers peuvent crypter les systèmes de l'entreprise et paralyser les opérations jusqu'à ce qu'une rançon soit payée. 

Une vue d'ensemble 

Les retombées d'une escroquerie fiscale au RAT réussie peuvent être catastrophiques. Les informations d'identification volées permettent aux pirates d'infiltrer les organisations, de perturber les opérations et de compromettre les données des clients. Pour les pirates, ces informations d'identification peuvent également débloquer des comptes bancaires sensibles, des bases de données de clients et des systèmes financiers. 

Le rôle des campagnes modernes de Phishing 

Il est intéressant de noter qu'en 2024, des campagnes de phishing plus sophistiquées ont été menées par des fournisseurs de services de messagerie électronique (ESP) de confiance tels que Sendgrid. L'utilisation d'ESP légitimes masque encore davantage l'intention malveillante de ces courriels. 

Cela souligne la nécessité pour les comptables de vérifier les sources des fichiers partagés par courrier électronique et de faire preuve de diligence raisonnable lors de l'accueil de nouveaux clients par voie numérique. 

Stratégies défensives contre les attaques des RAT 

1. Sensibilisez votre équipe 

La formation à la cybersécurité est primordiale, en particulier pendant les périodes à haut risque comme la période des impôts. Apprenez à vos employés à repérer les tentatives de phishing et à vérifier l'identité des clients par téléphone ou par d'autres méthodes avant de cliquer sur des liens suspects ou de télécharger des fichiers. 

2. Mettez en place une solide sécurité pour le courrier électronique 

Déployez des solutions capables de détecter les tentatives de phishing, même en l'absence de liens ou de pièces jointes malveillants. Les protocoles d'authentification du courrier électronique, tels que DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework), peuvent contribuer à réduire l'usurpation de domaine. "Il est important d'utiliser des solutions capables d'identifier les business email compromise et de les arrêter avant qu'ils ne soient envoyés afin d'éviter tout engagement potentiel."

3. Méfiez-vous des extensions de fichiers 

Encouragez votre équipe à vérifier les extensions de fichiers avant d'ouvrir les pièces jointes. Les fichiers se terminant par ".exe" sont des programmes exécutables et doivent immédiatement attirer l'attention, à moins qu'ils ne soient vérifiés par des sources fiables. 

4. Limiter les outils d'accès à distance 

De nombreux cybercriminels exploitent des outils légitimes tels que ScreenConnect pour accéder aux appareils. Restreignez ces types de programmes et n'autorisez leur utilisation que par le biais de protocoles informatiques approuvés. 

5. Effectuer des audits réguliers du système 

Contrôlez de près les systèmes de réseau pour détecter toute activité inhabituelle pendant la saison des impôts. Un trafic réseau suspect ou des changements soudains dans le comportement des fichiers doivent déclencher une enquête immédiate. 

6. S'assurer que les sauvegardes de données sont sécurisées 

Sauvegardez fréquemment tous les fichiers clients et les données sensibles, en les stockant dans des emplacements sécurisés et hors ligne. Cela garantit la résilience de l'entreprise face à une attaque de ransomware. 

7. Utiliser un logiciel de protection des points finaux 

Les solutions avancées de détection et de réponse (EDR) peuvent identifier les activités malveillantes telles que les RAT avant qu'elles ne causent des dommages importants.

À emporter

L'escroquerie fiscale RAT illustre la sophistication croissante des cybermenaces visant les cabinets comptables. Profitant du chaos de la saison des impôts, les attaquants utilisent l'ingénierie sociale et les malwares pour infiltrer les entreprises, voler des données précieuses et perturber les opérations.

Pour contrer ces menaces, les cabinets comptables doivent donner la priorité à la cyber resilience, en adoptant des mesures robustes de sécurité du courrier électronique, en mettant en œuvre des programmes de sensibilisation des employés à la cybersécurité et en maintenant des pratiques vigilantes pendant les périodes à haut risque. 

En gardant une longueur d'avance, votre entreprise peut s'assurer que, même si la saison des impôts reste chargée, les pirates informatiques sont tenus à distance. Pour obtenir des informations pratiques sur la manière de renforcer la position de votre entreprise en matière de cybersécurité, explorez le centre de renseignements sur les menaces ou téléchargez le dernier rapport mondial sur les renseignements sur les menaces.