IRS adódokumentumok e-mailben kártevő

A váratlan e-mailek kezelésekor elengedhetetlen az éberség. A kiberbűnözők gyakran álcázzák a rosszindulatú üzeneteket megbízható intézmények hivatalos közleményeiként, hogy adatokat lopjanak vagy eszközöket fertőzzenek meg. Az úgynevezett IRS Tax Documents e-mail kampány egy ilyen példa. Ezek az üzenetek nem kapcsolódnak semmilyen legitim céghez, szervezethez, kormányzati szervhez vagy a valódi Adóhivatalhoz (IRS).

Mi az IRS adódokumentumokkal kapcsolatos e-mailes kártevő átverés?

Az IRS adódokumentumairól szóló e-mailek a rosszindulatú spam, azaz kifejezetten rosszindulatú programok terjesztésére létrehozott spamüzenetek. Az IRS-t illetik, és hamisan tájékoztatják a címzetteket arról, hogy a 2025-ös adóév hivatalos adódokumentumai biztonságosan letölthetők.

A hamis legitimitásérzet keltése érdekében az e-mailek gyakran a „Kedves Adófizető” kezdettel kezdődnek, és olyan adatokat tartalmaznak, mint egy valós IRS telefonszám és egy washingtoni postai cím. Emellett kiemelt helyen szerepel a Biztonságos Megjelenítő Letöltése gomb, és azt állítják, hogy a dokumentumok titkosítottak, és megnyitásukhoz speciális megjelenítő szükséges.

Ezek az állítások csalárdak, és céljuk, hogy a címzetteket rávegyék a megadott linkre kattintásra.

Hogyan működik a fertőzési lánc

A gombra kattintva a felhasználók egy harmadik féltől származó webhelyre jutnak, amely egy hivatalos Adobe Acrobat letöltési oldalra hasonlít. Az oldal azt állíthatja, hogy az Adobe Reader hiányzik vagy elavult, és hogy frissítésre van szükség az adófájlok megtekintéséhez.

Ezután letöltődik egy „Adobe_Install.msi” nevű fájl. A neve ellenére ennek a telepítőnek nincs jogos kapcsolata az Adobe-val.

Futtatáskor a fájl nem telepíti az Adobe szoftverét. Ehelyett csendben telepíti a TiFluxot, egy valódi távoli asztali és IT-felügyeleti platformot, amelyet egy brazil vállalat fejlesztett ki. Ebben a kampányban azonban a szoftvert rosszindulatú távoli hozzáférési eszközként használják. Az is lehetséges, hogy a terjesztett verziót további káros funkciókkal egészítették ki.

A telepítés után a program regisztrálódhat a Windows rendszerben Ti Service And Agent néven, TiFLUX kiadói néven, miközben csendesen fut a háttérben.

Miért veszélyes ez a kártevő?

Miután a támadók távoli hozzáférést szereznek egy feltört rendszerhez, képesek lehetnek a tevékenységek megfigyelésére, fájlok manipulálására és további fenyegetések telepítésére. A sikeres kompromittálás személyes és pénzügyi információkat is felfedhet.

Lehetséges következmények a következők:

• Dokumentumok, jelszavak, böngészőadatok vagy banki adatok ellopása
• További rosszindulatú programok, például zsarolóvírusok, kémprogramok vagy hitelesítő adatokat ellopó vírusok telepítése

• A számítógép jogosulatlan használata bűncselekményhez

• Hosszú távú megfigyelés vagy a fertőzött eszközön való jelenléte

Bárki, aki futtatta a telepítőt, feltételezheti, hogy a rendszer veszélybe kerülhetett.

Mi a teendő, ha a fájlt megnyitották?

Azonnali cselekvésre van szükség, ha a letöltött telepítőt végrehajtották. Az eszköz internetkapcsolatának leválasztása segíthet korlátozni a további támadói tevékenységet, amíg a biztonsági ellenőrzések végrehajtásra kerülnek.

Az ajánlott lépések közé tartozik egy teljes víruskereső vagy végpontbiztonsági vizsgálat futtatása, a gyanús szoftverek eltávolítása, a jelszavak megváltoztatása egy tiszta eszközről, a banki és e-mail fiókok ellenőrzése jogosulatlan tevékenységek szempontjából, valamint professzionális incidenskezelési segítség igénybevétele, ha bizalmas adatok kerültek nyilvánosságra.

Hogyan terjesztik a spam e-mailek általában a rosszindulatú programokat?

A kiberbűnözők két fő kézbesítési módszert alkalmaznak a spamkampányokban:

Kártékony mellékletek, például futtatható fájlok, Office-dokumentumok, ZIP-archívumok, PDF-ek, ISO-képek vagy szkriptek. Némelyik azonnal megfertőzi a rendszereket, míg mások makrók engedélyezését vagy beágyazott tartalom elindítását igénylik a felhasználóktól.

Beágyazott linkek, amelyek hamis szoftveroldalakra, hamis portálokra vagy megtévesztő fájlmegosztó webhelyekre irányítják át az áldozatokat, ahol a rosszindulatú programokat manuálisan vagy automatikusan töltik le.

Hogyan ismerjük fel a hasonló csalásokat?

A váratlan adózási értesítéseket, a sürgős pénzügyi kéréseket, a megjelenítők vagy frissítések telepítésére vonatkozó kéréseket, az általános üdvözléseket, a gyanús linkeket és a kéretlen mellékleteket mind óvatosan kell kezelni. A kormányzati szervek általában nem küldenek meglepetésszerű szoftvertelepítőket kéretlen e-mail kampányokon keresztül.

Záró értékelés

Az IRS Tax Documents e-mailek egy rosszindulatú programot terjesztő átverés, amely az IRS nevét használja fel a címzettek megtévesztésére. Az áldozatokat egy hamis Adobe letöltési oldalra irányítják át, ahol egy álcázott telepítő távoli elérésű szoftvert telepít, amely átadhatja a rendszer irányítását a támadóknak. Ezeket az e-maileket azonnal törölni kell, és semmilyen linket vagy mellékletet nem szabad megnyitni.