بدافزار ایمیل اسناد مالیاتی IRS

هوشیاری در مواجهه با ایمیل‌های غیرمنتظره ضروری است. مجرمان سایبری اغلب پیام‌های مخرب را به عنوان ارتباطات رسمی از مؤسسات معتبر پنهان می‌کنند تا داده‌ها را سرقت کنند یا دستگاه‌ها را آلوده کنند. کمپین ایمیلی موسوم به اسناد مالیاتی IRS یکی از این نمونه‌هاست. این پیام‌ها به هیچ شرکت، سازمان، آژانس دولتی یا اداره درآمد داخلی (IRS) واقعی مرتبط نیستند.

کلاهبرداری بدافزار ایمیلی اسناد مالیاتی IRS چیست؟

ایمیل‌های مربوط به اسناد مالیاتی اداره مالیات آمریکا (IRS Tax Documents) نوعی هرزنامه یا همان Malspam هستند که به‌طور خاص برای توزیع بدافزار ایجاد شده‌اند. این ایمیل‌ها خود را به‌جای IRS جا می‌زنند و به دروغ به گیرندگان اطلاع می‌دهند که اسناد مالیاتی رسمی برای سال مالیاتی ۲۰۲۵ برای دانلود امن در دسترس هستند.

برای ایجاد حس کاذب مشروعیت، ایمیل‌ها اغلب با «مالیات‌دهنده محترم» شروع می‌شوند و شامل جزئیاتی مانند شماره تلفن واقعی IRS و آدرس پستی واشنگتن دی سی هستند. آنها همچنین دارای یک دکمه برجسته Download Secure Viewer هستند و ادعا می‌کنند که اسناد رمزگذاری شده‌اند و برای باز کردن به یک نمایشگر ویژه نیاز دارند.

این ادعاها جعلی هستند و با هدف فریب گیرندگان برای کلیک روی لینک ارائه شده طراحی شده‌اند.

نحوه عملکرد زنجیره عفونت

کلیک بر روی این دکمه، کاربران را به یک وب‌سایت شخص ثالث هدایت می‌کند که شبیه به صفحه دانلود رسمی Adobe Acrobat طراحی شده است. این صفحه ممکن است ادعا کند که Adobe Reader وجود ندارد یا قدیمی است و قبل از مشاهده فایل‌های مالیاتی، به‌روزرسانی لازم است.

سپس فایلی با نام «Adobe_Install.msi» دانلود می‌شود. برخلاف نامش، این نصب‌کننده هیچ ارتباط قانونی با ادوبی ندارد.

این فایل هنگام اجرا، نرم‌افزار ادوبی را نصب نمی‌کند. در عوض، به‌طور مخفیانه TiFlux، یک پلتفرم مدیریت دسکتاپ از راه دور و فناوری اطلاعات واقعی که توسط یک شرکت برزیلی توسعه داده شده است، را اجرا می‌کند. با این حال، در این کمپین، از این نرم‌افزار به‌عنوان یک ابزار دسترسی از راه دور مخرب سوءاستفاده می‌شود. همچنین این احتمال وجود دارد که نسخه توزیع‌شده برای افزودن قابلیت‌های مضر اضافی تغییر داده شده باشد.

پس از نصب، این برنامه ممکن است در ویندوز به عنوان Ti Service And Agent تحت نام ناشر TiFLUX ثبت شود، در حالی که بی‌سروصدا در پس‌زمینه اجرا می‌شود.

چرا این بدافزار خطرناک است؟

هنگامی که مهاجمان از راه دور به یک سیستم آسیب‌دیده دسترسی پیدا می‌کنند، ممکن است بتوانند فعالیت‌ها را رصد کنند، فایل‌ها را دستکاری کنند و تهدیدات دیگری را نصب کنند. یک نفوذ موفق می‌تواند اطلاعات شخصی و مالی را افشا کند.

عواقب احتمالی عبارتند از:

• سرقت اسناد، رمزهای عبور، داده‌های مرورگر یا اطلاعات بانکی

هر کسی که نصب‌کننده را اجرا کرده است، باید فرض کند که سیستم ممکن است در معرض خطر باشد.

اگر فایل باز شده باشد چه باید کرد؟

در صورت اجرای نصب‌کننده‌ی دانلود شده، اقدام فوری بسیار مهم است. قطع اتصال دستگاه از اینترنت می‌تواند به محدود کردن فعالیت بیشتر مهاجم در حین انجام بررسی‌های امنیتی کمک کند.

مراحل توصیه‌شده شامل اجرای یک اسکن کامل آنتی‌ویروس یا اسکن امنیتی نقطه پایانی، حذف نرم‌افزارهای مشکوک، تغییر رمزهای عبور از یک دستگاه پاک، بررسی حساب‌های بانکی و ایمیل برای فعالیت‌های غیرمجاز و درخواست کمک حرفه‌ای در پاسخ به حوادث در صورت افشای اطلاعات حساس است.

چگونه ایمیل‌های اسپم معمولاً بدافزار را پخش می‌کنند

مجرمان سایبری در کمپین‌های هرزنامه به دو روش اصلی برای ارسال ایمیل‌های خود متکی هستند:

پیوست‌های مخرب مانند فایل‌های اجرایی، اسناد آفیس، آرشیوهای ZIP، PDFها، تصاویر ISO یا اسکریپت‌ها. برخی از آنها بلافاصله سیستم‌ها را آلوده می‌کنند، در حالی که برخی دیگر از کاربران می‌خواهند که ماکروها را فعال کنند یا محتوای جاسازی‌شده را اجرا کنند.

لینک‌های جاسازی‌شده‌ای که قربانیان را به صفحات نرم‌افزاری جعلی، پورتال‌های تقلبی یا سایت‌های اشتراک‌گذاری فایل فریبنده هدایت می‌کنند که در آن‌ها بدافزار به‌صورت دستی یا خودکار دانلود می‌شود.

چگونه کلاهبرداری‌های مشابه را تشخیص دهیم

با اخطارهای مالیاتی غیرمنتظره، درخواست‌های مالی فوری، درخواست‌های نصب نمایشگرها یا به‌روزرسانی‌ها، خوشامدگویی‌های عمومی، لینک‌های مشکوک و پیوست‌های ناخواسته، باید با احتیاط برخورد کرد. سازمان‌های دولتی معمولاً از طریق کمپین‌های ایمیلی ناخواسته، نصب‌کننده‌های نرم‌افزار را به طور غافلگیرکننده ارسال نمی‌کنند.

ارزیابی نهایی

ایمیل‌های «اسناد مالیاتی IRS» یک کلاهبرداری توزیع بدافزار هستند که از نام IRS برای فریب گیرندگان سوءاستفاده می‌کنند. قربانیان به یک صفحه دانلود جعلی Adobe هدایت می‌شوند که در آن یک نصب‌کننده‌ی مبدل، نرم‌افزار دسترسی از راه دور را مستقر می‌کند که می‌تواند کنترل سیستم را به مهاجمان بدهد. این ایمیل‌ها باید فوراً حذف شوند و هیچ لینک یا پیوستی نباید باز شود.