IRS-belastingdocumenten E-mailmalware

Het is van essentieel belang om alert te blijven bij onverwachte e-mails. Cybercriminelen vermommen kwaadaardige berichten vaak als officiële communicatie van vertrouwde instanties om gegevens te stelen of apparaten te infecteren. De zogenaamde IRS Tax Documents-e-mailcampagne is daar een voorbeeld van. Deze berichten zijn niet gelieerd aan een legitiem bedrijf, organisatie, overheidsinstantie of de echte Internal Revenue Service (IRS).

Wat is de IRS-malware-e-mail met belastingdocumenten?

De e-mails met belastingdocumenten van de IRS zijn een vorm van malspam, spamberichten die specifiek zijn ontworpen om malware te verspreiden. Ze doen zich voor als de IRS en informeren ontvangers ten onrechte dat officiële belastingdocumenten voor belastingjaar 2025 veilig te downloaden zijn.

Om een vals gevoel van legitimiteit te creëren, beginnen de e-mails vaak met 'Geachte belastingbetaler' en bevatten ze details zoals een echt telefoonnummer van de IRS en een postadres in Washington, D.C. Ze bevatten ook een prominente knop 'Beveiligde viewer downloaden' en beweren dat de documenten versleuteld zijn en een speciale viewer vereisen om te openen.

Deze beweringen zijn frauduleus en bedoeld om ontvangers ertoe te verleiden op de verstrekte link te klikken.

Hoe de infectieketen werkt

Door op de knop te klikken, worden gebruikers doorgestuurd naar een website van een derde partij die is ontworpen om te lijken op een officiële downloadpagina van Adobe Acrobat. Op die pagina kan worden beweerd dat Adobe Reader ontbreekt of verouderd is en dat een update nodig is voordat de belastingbestanden kunnen worden bekeken.

Vervolgens wordt een bestand met de naam 'Adobe_Install.msi' gedownload. Ondanks de naam heeft dit installatieprogramma geen legitieme connectie met Adobe.

Bij uitvoering installeert het bestand geen Adobe-software. In plaats daarvan installeert het stilletjes TiFlux, een legitiem platform voor beheer op afstand van bureaublad en IT-systemen, ontwikkeld door een Braziliaans bedrijf. In deze campagne wordt de software echter misbruikt als een kwaadaardig hulpmiddel voor toegang op afstand. Het is ook mogelijk dat de verspreide versie is aangepast om extra schadelijke functionaliteiten te bevatten.

Na de installatie kan het programma zich in Windows registreren als Ti Service And Agent onder de uitgeversnaam TiFLUX, terwijl het stil op de achtergrond draait.

Waarom deze malware gevaarlijk is

Zodra aanvallers op afstand toegang krijgen tot een gecompromitteerd systeem, kunnen ze activiteiten monitoren, bestanden manipuleren en extra bedreigingen installeren. Een succesvolle inbreuk kan zowel persoonlijke als financiële informatie blootleggen.

Mogelijke gevolgen zijn onder meer:

• Diefstal van documenten, wachtwoorden, browsergegevens of bankgegevens
• Installatie van meer malware, zoals ransomware, spyware of programma's die inloggegevens stelen.

• Ongeoorloofd gebruik van de computer voor criminele activiteiten.

• Langdurige bewaking of persistentie op het geïnfecteerde apparaat

Iedereen die het installatieprogramma heeft uitgevoerd, moet ervan uitgaan dat het systeem mogelijk is gecompromitteerd.

Wat te doen als het bestand geopend is?

Direct handelen is cruciaal als het gedownloade installatieprogramma is uitgevoerd. Het apparaat loskoppelen van het internet kan verdere aanvallen beperken terwijl de beveiligingscontroles worden uitgevoerd.

Aanbevolen stappen zijn onder andere het uitvoeren van een volledige antivirus- of endpointbeveiligingsscan, het verwijderen van verdachte software, het wijzigen van wachtwoorden op een schoon apparaat, het controleren van bank- en e-mailaccounts op ongeautoriseerde activiteiten en het inschakelen van professionele hulp bij incidentafhandeling als gevoelige gegevens zijn blootgesteld.

Hoe spam-e-mails vaak malware verspreiden

Cybercriminelen maken bij spamcampagnes voornamelijk gebruik van twee methoden:

Kwaadaardige bijlagen zoals uitvoerbare bestanden, Office-documenten, ZIP-archieven, PDF's, ISO-images of scripts. Sommige infecteren systemen direct, terwijl andere vereisen dat gebruikers macro's inschakelen of ingesloten inhoud starten.

Ingesloten links die slachtoffers doorverwijzen naar nep-softwarepagina's, namaakportalen of bedrieglijke sites voor het delen van bestanden, waar malware handmatig of automatisch wordt gedownload.

Hoe herken je soortgelijke oplichtingspraktijken?

Onverwachte belastingaanslagen, dringende financiële verzoeken, verzoeken om viewers of updates te installeren, algemene begroetingen, verdachte links en ongevraagde bijlagen moeten allemaal met de nodige voorzichtigheid worden behandeld. Overheidsinstanties versturen doorgaans geen onverwachte software-installatieprogramma's via ongevraagde e-mailcampagnes.

Eindbeoordeling

De e-mails met zogenaamde IRS-belastingdocumenten zijn een vorm van malwareverspreiding waarbij de naam van de IRS wordt misbruikt om ontvangers te misleiden. Slachtoffers worden doorgestuurd naar een nep-downloadpagina van Adobe, waar een vermomd installatieprogramma software voor toegang op afstand installeert waarmee aanvallers de controle over het systeem kunnen overnemen. Deze e-mails moeten onmiddellijk worden verwijderd en er mogen geen links of bijlagen worden geopend.