Documents fiscals de l'IRS Correu electrònic Programari maliciós

És essencial mantenir-se alerta quan es tracta de correus electrònics inesperats. Els ciberdelinqüents sovint disfressen els missatges maliciosos com a comunicacions oficials d'institucions de confiança per robar dades o infectar dispositius. La campanya de correu electrònic anomenada IRS Tax Documents n'és un exemple. Aquests missatges no estan associats a cap empresa, organització, agència governamental legítima ni al veritable Servei d'Impostos Interns (IRS).

Què és l’estafa de programari maliciós per correu electrònic de documents fiscals de l’IRS?

Els correus electrònics de documents fiscals de l'IRS són una forma de correu brossa, missatges de correu brossa creats específicament per distribuir programari maliciós. Suplanten la identitat de l'IRS i informen falsament als destinataris que els documents fiscals oficials per a l'any fiscal 2025 estan disponibles per a la seva descàrrega segura.

Per crear una falsa sensació de legitimitat, els correus electrònics sovint comencen amb "Benvolgut contribuent" i inclouen detalls com ara un número de telèfon real de l'IRS i una adreça postal de Washington, DC. També presenten un botó destacat de Descarrega el visor segur i afirmen que els documents estan xifrats i requereixen un visor especial per obrir-los.

Aquestes afirmacions són fraudulentes i tenen com a objectiu enganyar els destinataris perquè facin clic a l'enllaç proporcionat.

Com funciona la cadena d’infecció

En fer clic al botó, els usuaris es redirigeixen a un lloc web de tercers dissenyat per semblar-se a una pàgina oficial de descàrrega d'Adobe Acrobat. La pàgina pot afirmar que falta Adobe Reader o que està obsolet i que cal una actualització abans de poder visualitzar els fitxers fiscals.

A continuació, es descarrega un fitxer anomenat "Adobe_Install.msi". Malgrat el seu nom, aquest instal·lador no té cap connexió legítima amb Adobe.

Quan s'executa, el fitxer no instal·la el programari d'Adobe. En comptes d'això, implementa silenciosament TiFlux, una plataforma genuïna d'escriptori remot i gestió informàtica desenvolupada per una empresa brasilera. En aquesta campanya, però, el programari s'utilitza de manera abusiva com a eina d'accés remot maliciosa. També hi ha la possibilitat que la versió que es distribueix s'hagi alterat per incloure funcions nocives addicionals.

Després de la instal·lació, el programa es pot registrar a Windows com a Ti Service And Agent amb el nom de l'editor TiFLUX, mentre s'executa silenciosament en segon pla.

Per què aquest programari maliciós és perillós

Un cop els atacants aconsegueixen accés remot a un sistema compromès, poden supervisar l'activitat, manipular fitxers i instal·lar amenaces addicionals. Un compromís reeixit pot exposar informació tant personal com financera.

Les possibles conseqüències inclouen:

• Robatori de documents, contrasenyes, dades del navegador o dades bancàries
• Instal·lació de més programari maliciós, com ara ransomware, spyware o lladres de credencials

• Ús no autoritzat de l'ordinador per a activitats delictives

• Vigilància a llarg termini o persistència al dispositiu infectat

Qualsevol persona que hagi executat l'instal·lador hauria de suposar que el sistema pot estar compromès.

Què cal fer si s’ha obert el fitxer

L'acció immediata és fonamental si s'ha executat l'instal·lador descarregat. Desconnectar el dispositiu d'Internet pot ajudar a limitar l'activitat dels atacants mentre es realitzen les comprovacions de seguretat.

Els passos recomanats inclouen executar una anàlisi completa de seguretat antivirus o de punt final, eliminar el programari sospitós, canviar les contrasenyes d'un dispositiu net, revisar els comptes bancaris i de correu electrònic per detectar activitats no autoritzades i buscar assistència professional en resposta a incidents si s'han exposat dades sensibles.

Com els correus electrònics brossa solen propagar programari maliciós

Els ciberdelinqüents es basen en dos mètodes principals de distribució de correu brossa en les campanyes de correu brossa:

Adjunts maliciosos com ara fitxers executables, documents d'Office, arxius ZIP, PDF, imatges ISO o scripts. Alguns infecten els sistemes immediatament, mentre que d'altres requereixen que els usuaris activin macros o iniciïn contingut incrustat.

Enllaços incrustats que redirigeixen les víctimes a pàgines de programari falses, portals falsificats o llocs web enganyosos per compartir fitxers on es descarrega programari maliciós manualment o automàticament.

Com reconèixer estafes similars

Els avisos fiscals inesperats, les sol·licituds financeres urgents, les sol·licituds per instal·lar visualitzadors o actualitzacions, les salutacions genèriques, els enllaços sospitosos i els fitxers adjunts no sol·licitats s'han de tractar amb precaució. Les agències governamentals normalment no envien instal·ladors de programari sorpresa a través de campanyes de correu electrònic no sol·licitades.

Avaluació final

Els correus electrònics de documents fiscals de l'IRS són una estafa de distribució de programari maliciós que utilitza el nom de l'IRS per enganyar els destinataris. Les víctimes són redirigides a una pàgina de descàrrega falsa d'Adobe on un instal·lador disfressat implementa un programari d'accés remot que pot lliurar el control del sistema als atacants. Aquests correus electrònics s'han d'eliminar immediatament i no s'ha d'obrir cap enllaç ni fitxer adjunt.