Вредоносное ПО для электронной почты, связанное с налоговыми документами IRS.

Крайне важно сохранять бдительность при получении неожиданных электронных писем. Киберпреступники часто маскируют вредоносные сообщения под официальные сообщения от доверенных организаций, чтобы украсть данные или заразить устройства. Так называемая кампания по рассылке электронных писем с налоговыми документами IRS — один из таких примеров. Эти сообщения не связаны ни с какой законной компанией, организацией, государственным учреждением или настоящей Налоговой службой США (IRS).

Что представляет собой мошенническая схема с рассылкой вредоносных электронных писем с налоговыми документами IRS?

Электронные письма с налоговыми документами IRS — это разновидность вредоносного спама, спам-сообщений, созданных специально для распространения вредоносного программного обеспечения. Они выдают себя за IRS и ложно сообщают получателям, что официальные налоговые документы за 2025 налоговый год доступны для безопасной загрузки.

Чтобы создать ложное ощущение легитимности, электронные письма часто начинаются с обращения «Уважаемый налогоплательщик» и содержат такие данные, как реальный номер телефона налоговой службы и почтовый адрес в Вашингтоне, округ Колумбия. В них также присутствует заметная кнопка «Загрузить защищенный просмотрщик», и утверждается, что документы зашифрованы и для их открытия требуется специальная программа для просмотра.

Эти заявления являются мошенническими и направлены на то, чтобы обманом заставить получателей перейти по предоставленной ссылке.

Как работает цепочка заражения

Нажатие на кнопку перенаправляет пользователей на сторонний веб-сайт, оформленный так, чтобы напоминать официальную страницу загрузки Adobe Acrobat. На этой странице может быть указано, что Adobe Reader отсутствует или устарел и что для просмотра налоговых файлов требуется обновление.

Затем загружается файл с именем «Adobe_Install.msi». Несмотря на свое название, этот установщик не имеет законной связи с Adobe.

При запуске файл не устанавливает программное обеспечение Adobe. Вместо этого он незаметно развертывает TiFlux, подлинную платформу удаленного доступа и управления ИТ-инфраструктурой, разработанную бразильской компанией. Однако в этой кампании программное обеспечение используется в качестве вредоносного инструмента удаленного доступа. Также существует вероятность того, что распространяемая версия была изменена и включает в себя дополнительные вредоносные возможности.

После установки программа может зарегистрироваться в Windows как Ti Service And Agent под именем издателя TiFLUX, работая при этом в фоновом режиме в фоновом режиме.

Почему это вредоносное ПО опасно

Получив удалённый доступ к взломанной системе, злоумышленники могут отслеживать активность, манипулировать файлами и устанавливать дополнительные угрозы. Успешный взлом может привести к утечке как личной, так и финансовой информации.

Возможные последствия включают:

• Кража документов, паролей, данных браузера или банковских реквизитов.
• Установка дополнительных вредоносных программ, таких как программы-вымогатели, шпионские программы или программы для кражи учетных данных.

• Несанкционированное использование компьютера для преступной деятельности.

• Долгосрочное наблюдение или постоянное отслеживание зараженного устройства.

Всем, кто запускал установщик, следует исходить из того, что система может быть скомпрометирована.

Что делать, если файл был открыт?

Если загруженный установщик был запущен, необходимо незамедлительно принять меры. Отключение устройства от интернета может помочь ограничить дальнейшую активность злоумышленников, пока проводятся проверки безопасности.

Рекомендуемые шаги включают в себя запуск полного антивирусного сканирования или сканирования безопасности конечных устройств, удаление подозрительного программного обеспечения, смену паролей на чистом устройстве, проверку банковских и электронных счетов на предмет несанкционированной активности, а также обращение за помощью к специалистам по реагированию на инциденты в случае утечки конфиденциальных данных.

Как спам-письма обычно распространяют вредоносное ПО

В своих спам-кампаниях киберпреступники используют два основных метода распространения:

Вредоносные вложения, такие как исполняемые файлы, документы Office, ZIP-архивы, PDF-файлы, ISO-образы или скрипты. Некоторые заражают систему немедленно, в то время как другие требуют от пользователей включения макросов или запуска встроенного контента.

Встроенные ссылки перенаправляют жертв на поддельные страницы программного обеспечения, контрафактные порталы или обманчивые сайты обмена файлами, где вредоносное ПО загружается вручную или автоматически.

Как распознать похожие мошеннические схемы

Неожиданные налоговые уведомления, срочные финансовые запросы, просьбы об установке программ для просмотра или обновления программного обеспечения, общие приветствия, подозрительные ссылки и незапрошенные вложения следует воспринимать с осторожностью. Государственные учреждения, как правило, не рассылают неожиданные установочные файлы программного обеспечения посредством незапрошенных электронных писем.

Итоговая оценка

Электронные письма с налоговыми документами IRS — это мошенническая схема распространения вредоносного ПО, которая использует имя IRS для обмана получателей. Жертвы перенаправляются на поддельную страницу загрузки Adobe, где замаскированный установщик развертывает программное обеспечение для удаленного доступа, которое может передать управление системой злоумышленникам. Эти письма следует немедленно удалить, и не следует открывать никакие ссылки или вложения.