Programe malware pentru e-mailuri cu documente fiscale IRS

Vigilența atunci când gestionați e-mailuri neașteptate este esențială. Infractorii cibernetici deghizează frecvent mesajele rău intenționate în comunicări oficiale de la instituții de încredere pentru a fura date sau a infecta dispozitive. Așa-numita campanie de e-mailuri IRS Tax Documents este un astfel de exemplu. Aceste mesaje nu sunt asociate cu nicio companie, organizație, agenție guvernamentală legitimă sau cu adevăratul Serviciu de Venituri Interne (IRS).

Ce este o înșelătorie prin malware prin e-mail cu documente fiscale IRS?

E-mailurile cu documente fiscale IRS sunt o formă de malspam, mesaje spam create special pentru a distribui programe malware. Acestea se dau drept IRS și informează în mod fals destinatarii că documentele fiscale oficiale pentru anul fiscal 2025 sunt disponibile pentru descărcare securizată.

Pentru a crea un fals sentiment de legitimitate, e-mailurile încep adesea cu „Stimate contribuabil” și includ detalii precum un număr de telefon real al IRS și o adresă poștală din Washington, DC. De asemenea, acestea prezintă un buton proeminent „Descărcați vizualizatorul securizat” și susțin că documentele sunt criptate și necesită un vizualizator special pentru a fi deschise.

Aceste afirmații sunt frauduloase și au scopul de a păcăli destinatarii să dea clic pe linkul furnizat.

Cum funcționează lanțul de infecție

Dacă se face clic pe buton, utilizatorii sunt redirecționați către un site web terț, conceput să semene cu o pagină oficială de descărcare Adobe Acrobat. Pagina poate susține că Adobe Reader lipsește sau este învechit și că este necesară o actualizare înainte de a putea vizualiza fișierele fiscale.

Apoi este descărcat un fișier numit „Adobe_Install.msi”. În ciuda numelui său, acest program de instalare nu are nicio conexiune legitimă cu Adobe.

Când este executat, fișierul nu instalează software-ul Adobe. În schimb, implementează silențios TiFlux, o platformă autentică de desktop la distanță și gestionare IT, dezvoltată de o companie braziliană. În această campanie, însă, software-ul este folosit în mod abuziv ca instrument de acces la distanță rău intenționat. Există, de asemenea, posibilitatea ca versiunea distribuită să fi fost modificată pentru a include capabilități dăunătoare suplimentare.

După instalare, programul se poate înregistra în Windows ca Ti Service And Agent sub numele de editor TiFLUX, rulând în liniște în fundal.

De ce este periculos acest malware

Odată ce atacatorii obțin acces de la distanță la un sistem compromis, aceștia pot monitoriza activitatea, manipula fișiere și instala amenințări suplimentare. O compromitere reușită poate expune atât informații personale, cât și financiare.

Printre posibilele consecințe se numără:

• Furtul de documente, parole, date de browser sau detalii bancare
• Instalarea mai multor programe malware, cum ar fi ransomware, spyware sau programe care fură credențiale

• Utilizarea neautorizată a calculatorului în scopuri infracționale

• Supraveghere pe termen lung sau persistență pe dispozitivul infectat

Oricine a rulat programul de instalare ar trebui să presupună că sistemul ar putea fi compromis.

Ce trebuie făcut dacă fișierul a fost deschis

Acțiunea imediată este esențială dacă programul de instalare descărcat a fost executat. Deconectarea dispozitivului de la internet poate ajuta la limitarea activității atacatorilor în timp ce se efectuează verificările de securitate.

Pașii recomandați includ rularea unei scanări antivirus complete sau a securității endpoint-urilor, eliminarea software-ului suspect, schimbarea parolelor de pe un dispozitiv curat, verificarea conturilor bancare și de e-mail pentru activități neautorizate și solicitarea de asistență profesională în caz de incident dacă au fost expuse date sensibile.

Cum răspândesc frecvent e-mailurile spam programe malware

Infractorii cibernetici se bazează pe două metode principale de livrare în campaniile de spam:

Atașamente rău intenționate, cum ar fi fișiere executabile, documente Office, arhive ZIP, PDF-uri, imagini ISO sau scripturi. Unele infectează sistemele imediat, în timp ce altele solicită utilizatorilor să activeze macrocomenzi sau să lanseze conținut încorporat.

Linkuri încorporate care redirecționează victimele către pagini de software false, portaluri contrafăcute sau site-uri de partajare a fișierelor înșelătoare, unde programele malware sunt descărcate manual sau automat.

Cum să recunoști escrocheriile similare

Notificările fiscale neașteptate, solicitările financiare urgente, solicitările de instalare a unor programe de vizualizare sau actualizări, mesajele de întâmpinare generice, linkurile suspecte și atașamentele nesolicitate trebuie tratate cu prudență. Agențiile guvernamentale nu trimit, de obicei, programe surpriză pentru instalarea de software prin intermediul campaniilor de e-mail nesolicitate.

Evaluare finală

E-mailurile cu documente fiscale IRS sunt o escrocherie de distribuție de programe malware care abuzează de numele IRS pentru a înșela destinatarii. Victimele sunt redirecționate către o pagină falsă de descărcare Adobe, unde un instalator deghizat implementează un software de acces la distanță care poate preda controlul sistemului către atacatori. Aceste e-mailuri ar trebui șterse imediat și nu ar trebui deschise linkuri sau atașamente.