Malware per documenti fiscali dell'IRS via e-mail

È fondamentale rimanere vigili quando si ha a che fare con email inaspettate. I criminali informatici spesso mascherano i messaggi dannosi come comunicazioni ufficiali provenienti da istituzioni affidabili al fine di rubare dati o infettare i dispositivi. La cosiddetta campagna di email "Documenti fiscali dell'IRS" ne è un esempio. Questi messaggi non sono associati ad alcuna azienda, organizzazione, agenzia governativa legittima o al vero Internal Revenue Service (IRS).

Cos’è la truffa del malware via e-mail che imita i documenti fiscali dell’IRS?

Le email relative ai documenti fiscali dell'IRS sono una forma di malspam, ovvero messaggi di spam creati appositamente per diffondere malware. Si spacciano per l'IRS e informano falsamente i destinatari che i documenti fiscali ufficiali per l'anno fiscale 2025 sono disponibili per il download sicuro.

Per creare un falso senso di legittimità, le email spesso iniziano con "Gentile contribuente" e includono dettagli come un vero numero di telefono dell'IRS e un indirizzo postale di Washington, DC. Presentano inoltre un pulsante ben visibile per scaricare il visualizzatore sicuro e affermano che i documenti sono crittografati e richiedono un visualizzatore speciale per essere aperti.

Queste affermazioni sono fraudolente e hanno lo scopo di indurre i destinatari a cliccare sul link fornito.

Come funziona la catena di infezione

Facendo clic sul pulsante, gli utenti vengono reindirizzati a un sito web di terze parti progettato per assomigliare a una pagina di download ufficiale di Adobe Acrobat. La pagina potrebbe segnalare che Adobe Reader è mancante o obsoleto e che è necessario un aggiornamento prima di poter visualizzare i file fiscali.

Viene quindi scaricato un file denominato "Adobe_Install.msi". Nonostante il nome, questo programma di installazione non ha alcun collegamento legittimo con Adobe.

Una volta eseguito, il file non installa software Adobe. Al contrario, distribuisce silenziosamente TiFlux, una piattaforma autentica per la gestione remota del desktop e dell'IT sviluppata da un'azienda brasiliana. In questa campagna, tuttavia, il software viene sfruttato come strumento di accesso remoto dannoso. Esiste anche la possibilità che la versione distribuita sia stata modificata per includere ulteriori funzionalità malevole.

Dopo l'installazione, il programma potrebbe registrarsi in Windows come Ti Service And Agent con il nome del produttore TiFLUX, continuando a funzionare silenziosamente in background.

Perché questo malware è pericoloso

Una volta ottenuto l'accesso remoto a un sistema compromesso, gli aggressori possono monitorare l'attività, manipolare i file e installare ulteriori minacce. Una violazione riuscita può esporre informazioni personali e finanziarie.

Le possibili conseguenze includono:

• Furto di documenti, password, dati del browser o coordinate bancarie.
• Installazione di ulteriore malware, come ransomware, spyware o programmi per il furto di credenziali.

• Uso non autorizzato del computer per attività criminali

• Sorveglianza a lungo termine o persistenza sul dispositivo infetto

Chiunque abbia eseguito il programma di installazione dovrebbe presumere che il sistema potrebbe essere compromesso.

Cosa fare se il file è stato aperto

Se il programma di installazione scaricato è stato eseguito, è fondamentale intervenire immediatamente. Disconnettere il dispositivo da Internet può contribuire a limitare ulteriori attività malevole durante l'esecuzione dei controlli di sicurezza.

Tra le misure consigliate figurano l'esecuzione di una scansione antivirus completa o di una scansione di sicurezza degli endpoint, la rimozione di software sospetti, la modifica delle password utilizzando un dispositivo pulito, la verifica degli account bancari e di posta elettronica per individuare attività non autorizzate e la richiesta di assistenza professionale per la gestione degli incidenti in caso di esposizione di dati sensibili.

Come le email di spam diffondono comunemente il malware

I criminali informatici si affidano principalmente a due metodi di diffusione nelle campagne di spam:

Allegati dannosi come file eseguibili, documenti di Office, archivi ZIP, PDF, immagini ISO o script. Alcuni infettano i sistemi immediatamente, mentre altri richiedono agli utenti di abilitare le macro o di avviare contenuti incorporati.

Collegamenti incorporati che reindirizzano le vittime a pagine di software fasulle, portali contraffatti o siti di condivisione file ingannevoli dove il malware viene scaricato manualmente o automaticamente.

Come riconoscere truffe simili

Notifiche fiscali inaspettate, richieste finanziarie urgenti, inviti a installare programmi di visualizzazione o aggiornamenti, saluti generici, link sospetti e allegati non richiesti devono essere trattati con cautela. Gli enti governativi in genere non inviano programmi di installazione di software a sorpresa tramite campagne di posta elettronica non richieste.

Valutazione finale

Le email che si spacciano per documenti fiscali dell'IRS sono una truffa basata sulla distribuzione di malware che sfrutta il nome dell'IRS per ingannare i destinatari. Le vittime vengono reindirizzate a una falsa pagina di download di Adobe, dove un programma di installazione camuffato distribuisce un software di accesso remoto che può consentire agli aggressori di assumere il controllo del sistema. Queste email devono essere eliminate immediatamente e non bisogna aprire alcun link o allegato.