Malware pro daňové dokumenty IRS v e-mailech

Při řešení neočekávaných e-mailů je nezbytné zůstat ostražití. Kyberzločinci často maskují škodlivé zprávy jako oficiální komunikaci od důvěryhodných institucí, aby ukradli data nebo infikovali zařízení. Jedním z takových příkladů je tzv. e-mailová kampaň s daňovými dokumenty IRS. Tyto zprávy nejsou spojeny s žádnou legitimní společností, organizací, vládní agenturou ani se skutečným daňovým úřadem (IRS).

Co je podvod s malwarem pro daňové dokumenty od IRS?

E-maily s daňovými dokumenty IRS jsou formou malspamu, což jsou spamové zprávy vytvořené speciálně za účelem distribuce malwaru. Vydávají se za IRS a falešně informují příjemce, že oficiální daňové dokumenty za daňový rok 2025 jsou k dispozici ke stažení ke zabezpečenému uložení.

Aby se vytvořil falešný dojem legitimity, e-maily často začínají slovy „Vážený daňový poplatníku“ a obsahují podrobnosti, jako je skutečné telefonní číslo IRS a poštovní adresa ve Washingtonu, D.C. Obsahují také výrazné tlačítko Stáhnout zabezpečený prohlížeč a tvrdí, že dokumenty jsou šifrované a k jejich otevření je vyžadován speciální prohlížeč.

Tato tvrzení jsou podvodná a jejich cílem je oklamat příjemce a přimět je, aby klikli na poskytnutý odkaz.

Jak funguje infekční řetězec

Kliknutím na tlačítko se uživatelé přesměrují na webové stránky třetí strany, které připomínají oficiální stránku pro stahování Adobe Acrobatu. Stránka může uvádět, že Adobe Reader chybí nebo je zastaralý a že je před zobrazením daňových souborů nutná aktualizace.

Poté se stáhne soubor s názvem „Adobe_Install.msi“. Navzdory svému názvu nemá tento instalační program žádné legitimní spojení se společností Adobe.

Po spuštění soubor neinstaluje software Adobe. Místo toho tiše nasadí TiFlux, skutečnou platformu pro vzdálenou plochu a správu IT vyvinutou brazilskou společností. V této kampani je však software zneužit jako škodlivý nástroj pro vzdálený přístup. Existuje také možnost, že distribuovaná verze byla upravena tak, aby obsahovala další škodlivé funkce.

Po instalaci se program může ve Windows zaregistrovat jako Ti Service And Agent pod názvem vydavatele TiFLUX a zároveň tiše běžet na pozadí.

Proč je tento malware nebezpečný

Jakmile útočníci získají vzdálený přístup k napadenému systému, mohou být schopni sledovat aktivitu, manipulovat se soubory a instalovat další hrozby. Úspěšná kompromitace může odhalit osobní i finanční informace.

Mezi možné důsledky patří:

• Krádež dokumentů, hesel, dat prohlížeče nebo bankovních údajů
• Instalace dalšího malwaru, jako je ransomware, spyware nebo programy pro krádeže přihlašovacích údajů

• Neoprávněné použití počítače k trestné činnosti

• Dlouhodobé sledování nebo setrvání na infikovaném zařízení

Každý, kdo spustil instalační program, by měl předpokládat, že systém může být napaden.

Co dělat, když byl soubor otevřen

Pokud byl spuštěn stažený instalační program, je nezbytné okamžitě jednat. Odpojení zařízení od internetu může pomoci omezit další aktivitu útočníka během provádění bezpečnostních kontrol.

Mezi doporučené kroky patří spuštění kompletní antivirové nebo bezpečnostní kontroly koncových bodů, odstranění podezřelého softwaru, změna hesel z čistého zařízení, kontrola bankovních a e-mailových účtů, zda nedošlo k neoprávněné aktivitě, a vyhledání odborné pomoci v případě úniku citlivých dat.

Jak spamové e-maily běžně šíří malware

Kyberzločinci se v spamových kampaních spoléhají na dvě hlavní metody doručování:

Škodlivé přílohy, jako jsou spustitelné soubory, dokumenty Office, ZIP archivy, PDF, ISO obrazy nebo skripty. Některé infikují systémy okamžitě, zatímco jiné vyžadují, aby uživatelé povolili makra nebo spustili vložený obsah.

Vložené odkazy, které přesměrovávají oběti na falešné stránky s softwarem, falešné portály nebo klamavé weby pro sdílení souborů, kde se malware stahuje ručně nebo automaticky.

Jak rozpoznat podobné podvody

Neočekávané daňové výměry, naléhavé finanční požadavky, žádosti o instalaci prohlížečů nebo aktualizací, obecné pozdravy, podezřelé odkazy a nevyžádané přílohy by měly být brány s opatrností. Vládní agentury obvykle nezasílají překvapivé instalační balíčky softwaru prostřednictvím nevyžádaných e-mailových kampaní.

Závěrečné hodnocení

E-maily s daňovými dokumenty od IRS jsou podvodným distribučním programem, který zneužívá jméno IRS k oklamání příjemců. Oběti jsou přesměrovány na falešnou stránku pro stahování Adobe, kde maskovaný instalační program nasadí software pro vzdálený přístup, který může předat kontrolu nad systémem útočníkům. Tyto e-maily by měly být okamžitě smazány a neměly by se otevírat žádné odkazy ani přílohy.