Złośliwe oprogramowanie e-mailowe do dokumentów podatkowych IRS
Zachowanie czujności w przypadku nieoczekiwanych wiadomości e-mail jest kluczowe. Cyberprzestępcy często maskują złośliwe wiadomości pod przykrywką oficjalnych komunikatów od zaufanych instytucji, aby wykraść dane lub zainfekować urządzenia. Jednym z przykładów jest kampania e-mailowa z dokumentami podatkowymi IRS (IRS Tax Documents). Wiadomości te nie są powiązane z żadną legalną firmą, organizacją, agencją rządową ani rzeczywistym Urzędem Skarbowym (IRS).
Spis treści
Czym jest oszustwo polegające na rozsyłaniu dokumentów podatkowych IRS za pośrednictwem poczty elektronicznej?
E-maile z dokumentami podatkowymi IRS to forma złośliwego spamu, wiadomości stworzone specjalnie w celu rozpowszechniania złośliwego oprogramowania. Podszywają się pod IRS i fałszywie informują odbiorców, że oficjalne dokumenty podatkowe za rok podatkowy 2025 są dostępne do bezpiecznego pobrania.
Aby stworzyć fałszywe poczucie autentyczności, e-maile często zaczynają się od zwrotu „Szanowny Podatniku” i zawierają takie dane, jak prawdziwy numer telefonu do IRS oraz adres pocztowy w Waszyngtonie. Zawierają również widoczny przycisk „Pobierz Bezpieczną Przeglądarkę” i twierdzą, że dokumenty są zaszyfrowane i wymagają specjalnej przeglądarki do otwarcia.
Tego typu twierdzenia są oszukańcze i mają na celu nakłonienie odbiorców do kliknięcia podanego linku.
Jak działa łańcuch infekcji
Kliknięcie przycisku przekierowuje użytkowników do witryny internetowej innej firmy, która ma przypominać oficjalną stronę pobierania programu Adobe Acrobat. Strona może informować, że program Adobe Reader jest nieaktualny lub brakuje go w systemie i że przed wyświetleniem plików podatkowych wymagana jest aktualizacja.
Następnie pobierany jest plik o nazwie „Adobe_Install.msi”. Pomimo nazwy, instalator ten nie ma żadnego związku z firmą Adobe.
Po uruchomieniu plik nie instaluje oprogramowania Adobe. Zamiast tego, po cichu wdraża TiFlux, oryginalną platformę do zdalnego pulpitu i zarządzania IT, opracowaną przez brazylijską firmę. W tej kampanii oprogramowanie jest jednak wykorzystywane jako złośliwe narzędzie do zdalnego dostępu. Istnieje również możliwość, że dystrybuowana wersja została zmodyfikowana w celu dodania dodatkowych, szkodliwych funkcji.
Po zainstalowaniu program może zarejestrować się w systemie Windows jako Ti Service And Agent pod nazwą wydawcy TiFLUX i działać w tle.
Dlaczego to złośliwe oprogramowanie jest niebezpieczne
Gdy atakujący uzyskają zdalny dostęp do zainfekowanego systemu, mogą monitorować aktywność, manipulować plikami i instalować dodatkowe zagrożenia. Skuteczne włamanie może ujawnić zarówno dane osobowe, jak i finansowe.
Możliwe konsekwencje obejmują:
- Kradzież dokumentów, haseł, danych przeglądarki lub danych bankowych
- Instalacja większej ilości złośliwego oprogramowania, takiego jak ransomware, spyware lub programy kradnące dane uwierzytelniające
- Nieautoryzowane użycie komputera do celów przestępczych
- Długotrwały nadzór lub utrzymywanie urządzenia zainfekowanego
Każdy, kto uruchomił instalator, powinien założyć, że system może być zainfekowany.
Co zrobić, jeśli plik został otwarty
Natychmiastowe działanie jest kluczowe, jeśli pobrany instalator został uruchomiony. Odłączenie urządzenia od internetu może pomóc ograniczyć dalszą aktywność atakujących podczas przeprowadzania kontroli bezpieczeństwa.
Zalecane kroki obejmują przeprowadzenie pełnego skanowania antywirusowego lub bezpieczeństwa punktów końcowych, usunięcie podejrzanego oprogramowania, zmianę haseł na czystym urządzeniu, sprawdzenie kont bankowych i e-mail pod kątem nieautoryzowanych działań oraz skorzystanie z pomocy profesjonalnego zespołu reagowania na incydenty w przypadku ujawnienia poufnych danych.
Jak wiadomości spam najczęściej rozprzestrzeniają złośliwe oprogramowanie
Cyberprzestępcy wykorzystują dwie główne metody dostarczania spamu:
Złośliwe załączniki, takie jak pliki wykonywalne, dokumenty pakietu Office, archiwa ZIP, pliki PDF, obrazy ISO lub skrypty. Niektóre infekują systemy natychmiast, podczas gdy inne wymagają od użytkowników włączenia makr lub uruchomienia osadzonej zawartości.
Osadzone linki kierują ofiary do fałszywych stron z oprogramowaniem, fałszywych portali lub oszukańczych witryn służących do udostępniania plików, gdzie złośliwe oprogramowanie jest pobierane ręcznie lub automatycznie.
Jak rozpoznać podobne oszustwa
Nieoczekiwane zawiadomienia podatkowe, pilne prośby o pomoc finansową, prośby o zainstalowanie programów instalacyjnych lub aktualizacji, ogólne pozdrowienia, podejrzane linki i niechciane załączniki – wszystkie te sytuacje należy traktować z ostrożnością. Agencje rządowe zazwyczaj nie wysyłają niespodziewanych instalatorów oprogramowania w ramach niechcianych kampanii e-mailowych.
Ocena końcowa
E-maile z dokumentami podatkowymi IRS to oszustwo polegające na rozpowszechnianiu złośliwego oprogramowania, które wykorzystuje nazwę IRS do oszukiwania odbiorców. Ofiary są przekierowywane na fałszywą stronę pobierania Adobe, gdzie ukryty instalator wdraża oprogramowanie do zdalnego dostępu, które może przekazać kontrolę nad systemem atakującym. Należy natychmiast usunąć te e-maile i nie otwierać żadnych linków ani załączników.
System Messages
The following system messages may be associated with Złośliwe oprogramowanie e-mailowe do dokumentów podatkowych IRS:
Subject: New Tax Document Ready for View |
