Данъчни документи на IRS, злонамерен софтуер за имейли

Бдението при работа с неочаквани имейли е от съществено значение. Киберпрестъпниците често маскират злонамерени съобщения като официални съобщения от доверени институции, за да откраднат данни или да заразят устройства. Така наречената имейл кампания с данъчни документи на IRS е един такъв пример. Тези съобщения не са свързани с никоя легитимна компания, организация, правителствена агенция или истинската Служба за вътрешни приходи (IRS).

Какво представлява измамата със зловреден софтуер за данъчни документи на IRS?

Имейлите с данъчни документи на IRS са форма на малспам - спам съобщения, създадени специално за разпространение на зловреден софтуер. Те се представят за IRS и невярно информират получателите, че официални данъчни документи за данъчната 2025 година са достъпни за защитено изтегляне.

За да създадат фалшиво усещане за легитимност, имейлите често започват с „Уважаеми данъкоплатец“ и включват подробности като истински телефонен номер на IRS и пощенски адрес във Вашингтон, окръг Колумбия. Те също така съдържат видно място на бутон „Изтегляне на защитен преглед“ и твърдят, че документите са криптирани и изискват специален прегледник, за да се отворят.

Тези твърдения са измамни и целят да подведат получателите да кликнат върху предоставената връзка.

Как работи веригата на инфекцията

Щракването върху бутона пренасочва потребителите към уебсайт на трета страна, проектиран да наподобява официална страница за изтегляне на Adobe Acrobat. Страницата може да твърди, че Adobe Reader липсва или е остарял и че е необходима актуализация, преди данъчните файлове да могат да бъдат прегледани.

След това се изтегля файл с име „Adobe_Install.msi“. Въпреки името си, този инсталатор няма легитимна връзка с Adobe.

Когато се изпълни, файлът не инсталира софтуер на Adobe. Вместо това, той тихо внедрява TiFlux, истинска платформа за отдалечен работен плот и управление на ИТ, разработена от бразилска компания. В тази кампания обаче софтуерът се злоупотребява като злонамерен инструмент за отдалечен достъп. Съществува и възможността разпространяваната версия да е била променена, за да включва допълнителни вредни функции.

След инсталирането, програмата може да се регистрира в Windows като Ti Service And Agent под името на издателя TiFLUX, докато работи тихо във фонов режим.

Защо този зловреден софтуер е опасен

След като нападателите получат отдалечен достъп до компрометирана система, те може да са в състояние да наблюдават активността, да манипулират файлове и да инсталират допълнителни заплахи. Успешното компрометиране може да разкрие както лична, така и финансова информация.

Възможните последици включват:

• Кражба на документи, пароли, данни от браузъра или банкови данни
• Инсталиране на още злонамерен софтуер, като например ransomware, spyware или програми за кражба на идентификационни данни

• Неразрешено използване на компютъра за престъпна дейност

• Дългосрочно наблюдение или персистиране на заразеното устройство

Всеки, който е стартирал инсталатора, би трябвало да предположи, че системата може да е компрометирана.

Какво да направите, ако файлът е бил отворен

Незабавните действия са от решаващо значение, ако изтегленият инсталатор е бил изпълнен. Изключването на устройството от интернет може да помогне за ограничаване на по-нататъшната активност на нападателя, докато се извършват проверки за сигурност.

Препоръчителните стъпки включват извършване на пълно антивирусно сканиране или сканиране за сигурност на крайните точки, премахване на подозрителен софтуер, промяна на пароли от чисто устройство, проверка на банкови и имейл акаунти за неоторизирана дейност и търсене на професионална помощ при инциденти, ако са били изложени чувствителни данни.

Как спам имейлите често разпространяват зловреден софтуер

Киберпрестъпниците разчитат на два основни метода за доставка в спам кампаниите:

Злонамерени прикачени файлове, като например изпълними файлове, документи на Office, ZIP архиви, PDF файлове, ISO изображения или скриптове. Някои заразяват системите незабавно, докато други изискват от потребителите да активират макроси или да стартират вградено съдържание.

Вградени връзки, които пренасочват жертвите към фалшиви софтуерни страници, фалшиви портали или измамни сайтове за споделяне на файлове, където злонамерен софтуер се изтегля ръчно или автоматично.

Как да разпознаете подобни измами

Неочаквани данъчни известия, спешни финансови искания, искания за инсталиране на програми за преглед или актуализации, общи поздрави, подозрителни връзки и непоискани прикачени файлове трябва да се третират с повишено внимание. Правителствените агенции обикновено не изпращат изненадващи инсталатори на софтуер чрез непоискани имейл кампании.

Окончателна оценка

Имейлите с данъчни документи на IRS са измама за разпространение на зловреден софтуер, която злоупотребява с името на IRS, за да заблуди получателите. Жертвите се пренасочват към фалшива страница за изтегляне на Adobe, където прикрит инсталатор внедрява софтуер за отдалечен достъп, който може да предаде контрола над системата на нападателите. Тези имейли трябва да бъдат изтрити незабавно и не трябва да се отварят връзки или прикачени файлове.