Malware de e-mail para documentos fiscais do IRS

Manter-se vigilante ao lidar com e-mails inesperados é essencial. Criminosos cibernéticos frequentemente disfarçam mensagens maliciosas como comunicações oficiais de instituições confiáveis para roubar dados ou infectar dispositivos. A chamada campanha de e-mails "Documentos Fiscais do IRS" é um exemplo disso. Essas mensagens não estão associadas a nenhuma empresa, organização, agência governamental legítima ou ao verdadeiro Serviço de Receita Federal (IRS).

O que é o golpe do malware que envolve documentos fiscais do IRS por e-mail?

Os e-mails sobre documentos fiscais do IRS são uma forma de malspam, mensagens de spam criadas especificamente para distribuir malware. Eles se fazem passar pelo IRS e informam falsamente aos destinatários que documentos fiscais oficiais para o ano fiscal de 2025 estão disponíveis para download seguro.

Para criar uma falsa sensação de legitimidade, os e-mails geralmente começam com "Prezado Contribuinte" e incluem detalhes como um número de telefone real da Receita Federal (IRS) e um endereço postal em Washington, D.C. Eles também apresentam um botão em destaque para "Baixar Visualizador Seguro" e afirmam que os documentos estão criptografados e exigem um visualizador especial para serem abertos.

Essas alegações são fraudulentas e têm o objetivo de enganar os destinatários para que cliquem no link fornecido.

Como funciona a cadeia de infecção

Ao clicar no botão, os usuários são redirecionados para um site de terceiros projetado para se assemelhar a uma página oficial de download do Adobe Acrobat. A página pode alegar que o Adobe Reader está ausente ou desatualizado e que uma atualização é necessária para visualizar os arquivos fiscais.

Em seguida, é baixado um arquivo chamado 'Adobe_Install.msi'. Apesar do nome, esse instalador não tem nenhuma ligação legítima com a Adobe.

Ao ser executado, o arquivo não instala o software da Adobe. Em vez disso, ele instala silenciosamente o TiFlux, uma plataforma legítima de acesso remoto e gerenciamento de TI desenvolvida por uma empresa brasileira. Nesta campanha, porém, o software está sendo usado indevidamente como uma ferramenta maliciosa de acesso remoto. Existe também a possibilidade de que a versão distribuída tenha sido alterada para incluir funcionalidades adicionais prejudiciais.

Após a instalação, o programa pode se registrar no Windows como Ti Service And Agent sob o nome do editor TiFLUX, enquanto é executado silenciosamente em segundo plano.

Por que esse malware é perigoso?

Uma vez que os atacantes obtenham acesso remoto a um sistema comprometido, eles podem monitorar a atividade, manipular arquivos e instalar ameaças adicionais. Uma invasão bem-sucedida pode expor informações pessoais e financeiras.

Possíveis consequências incluem:

• Roubo de documentos, senhas, dados de navegação ou informações bancárias.
• Instalação de mais malware, como ransomware, spyware ou ladrões de credenciais.

• Uso não autorizado do computador para atividades criminosas

• Vigilância de longo prazo ou persistência no dispositivo infectado

Qualquer pessoa que tenha executado o instalador deve presumir que o sistema pode estar comprometido.

O que fazer se o arquivo foi aberto

É fundamental agir imediatamente caso o instalador baixado tenha sido executado. Desconectar o dispositivo da internet pode ajudar a limitar novas atividades do invasor enquanto as verificações de segurança são realizadas.

As medidas recomendadas incluem executar uma verificação completa de antivírus ou segurança de endpoint, remover softwares suspeitos, alterar senhas em um dispositivo limpo, revisar contas bancárias e de e-mail em busca de atividades não autorizadas e buscar assistência profissional de resposta a incidentes caso dados sensíveis tenham sido expostos.

Como os e-mails de spam geralmente disseminam malware

Os cibercriminosos dependem de dois métodos principais de distribuição em campanhas de spam:

Anexos maliciosos, como arquivos executáveis, documentos do Office, arquivos ZIP, PDFs, imagens ISO ou scripts. Alguns infectam os sistemas imediatamente, enquanto outros exigem que os usuários habilitem macros ou executem conteúdo incorporado.

Links incorporados que redirecionam as vítimas para páginas de software falsas, portais contrafeitos ou sites enganosos de compartilhamento de arquivos, onde o malware é baixado manual ou automaticamente.

Como reconhecer golpes semelhantes

Avisos fiscais inesperados, solicitações financeiras urgentes, pedidos para instalar visualizadores ou atualizações, saudações genéricas, links suspeitos e anexos não solicitados devem ser tratados com cautela. Agências governamentais normalmente não enviam instaladores de software surpresa por meio de campanhas de e-mail não solicitadas.

Avaliação final

Os e-mails com documentos fiscais do IRS são um golpe de distribuição de malware que usa o nome do IRS para enganar os destinatários. As vítimas são redirecionadas para uma página falsa de download da Adobe, onde um instalador disfarçado instala um software de acesso remoto que pode entregar o controle do sistema aos invasores. Esses e-mails devem ser excluídos imediatamente e nenhum link ou anexo deve ser aberto.