Škodlivý softvér pre daňové dokumenty IRS

Pri riešení neočakávaných e-mailov je nevyhnutná ostražitosť. Kyberzločinci často maskujú škodlivé správy ako oficiálnu komunikáciu od dôveryhodných inštitúcií, aby ukradli údaje alebo infikovali zariadenia. Jedným z takýchto príkladov je tzv. e-mailová kampaň s daňovými dokumentmi IRS. Tieto správy nie sú spojené so žiadnou legitímnou spoločnosťou, organizáciou, vládnou agentúrou ani skutočným daňovým úradom (IRS).

Čo je podvod so škodlivým softvérom pre daňové dokumenty od IRS?

E-maily s daňovými dokumentmi IRS sú formou malspamu, teda spamových správ vytvorených špeciálne na distribúciu škodlivého softvéru. Vydávajú sa za IRS a falošne informujú príjemcov, že oficiálne daňové dokumenty za daňový rok 2025 sú k dispozícii na bezpečné stiahnutie.

Aby sa vytvoril falošný dojem legitimity, e-maily často začínajú slovami „Vážený daňovník“ a obsahujú podrobnosti, ako napríklad skutočné telefónne číslo IRS a poštovú adresu vo Washingtone, D.C. Obsahujú tiež výrazné tlačidlo Stiahnuť zabezpečený prehliadač a tvrdia, že dokumenty sú šifrované a na otvorenie je potrebný špeciálny prehliadač.

Tieto tvrdenia sú podvodné a ich cieľom je oklamať príjemcov, aby klikli na poskytnutý odkaz.

Ako funguje infekčný reťazec

Kliknutím na tlačidlo sa používatelia presmerujú na webovú stránku tretej strany, ktorá je navrhnutá tak, aby pripomínala oficiálnu stránku na stiahnutie programu Adobe Acrobat. Stránka môže uvádzať, že program Adobe Reader chýba alebo je zastaraný a že pred zobrazením daňových súborov je potrebná aktualizácia.

Následne sa stiahne súbor s názvom „Adobe_Install.msi“. Napriek svojmu názvu nemá tento inštalátor žiadne legitímne prepojenie so spoločnosťou Adobe.

Po spustení súbor neinštaluje softvér od spoločnosti Adobe. Namiesto toho ticho nasadzuje TiFlux, skutočnú platformu pre vzdialenú pracovnú plochu a správu IT vyvinutú brazílskou spoločnosťou. V tejto kampani je však softvér zneužívaný ako škodlivý nástroj pre vzdialený prístup. Existuje tiež možnosť, že distribuovaná verzia bola upravená tak, aby obsahovala ďalšie škodlivé funkcie.

Po inštalácii sa program môže v systéme Windows zaregistrovať ako Ti Service And Agent pod názvom vydavateľa TiFLUX a zároveň ticho bežať na pozadí.

Prečo je tento malvér nebezpečný

Keď útočníci získajú vzdialený prístup k napadnutému systému, môžu byť schopní monitorovať aktivitu, manipulovať so súbormi a inštalovať ďalšie hrozby. Úspešné napadnutie môže odhaliť osobné aj finančné informácie.

Medzi možné následky patria:

• Krádež dokumentov, hesiel, údajov prehliadača alebo bankových údajov
• Inštalácia ďalšieho škodlivého softvéru, ako je ransomvér, spyware alebo programy na krádež prihlasovacích údajov

• Neoprávnené použitie počítača na trestnú činnosť

• Dlhodobé sledovanie alebo pretrvávanie na infikovanom zariadení

Každý, kto spustil inštalátor, by mal predpokladať, že systém môže byť napadnutý.

Čo robiť, ak bol súbor otvorený

Ak bol spustený stiahnutý inštalátor, je nevyhnutné okamžite konať. Odpojenie zariadenia od internetu môže pomôcť obmedziť ďalšiu aktivitu útočníka počas vykonávania bezpečnostných kontrol.

Medzi odporúčané kroky patrí spustenie úplnej antivírusovej alebo bezpečnostnej kontroly koncových bodov, odstránenie podozrivého softvéru, zmena hesiel z čistého zariadenia, kontrola bankových a e-mailových účtov, či nedošlo k neoprávnenej aktivite, a vyhľadanie odbornej pomoci v prípade úniku citlivých údajov.

Ako spamové e-maily bežne šíria malvér

Kyberzločinci sa v spamových kampaniach spoliehajú na dve hlavné metódy doručovania:

Škodlivé prílohy, ako sú spustiteľné súbory, dokumenty balíka Office, ZIP archívy, PDF súbory, ISO obrazy alebo skripty. Niektoré infikujú systémy okamžite, zatiaľ čo iné vyžadujú, aby používatelia povolili makrá alebo spustili vložený obsah.

Vložené odkazy, ktoré presmerujú obete na falošné stránky so softvérom, falošné portály alebo klamlivé stránky na zdieľanie súborov, kde sa malvér sťahuje manuálne alebo automaticky.

Ako rozpoznať podobné podvody

Neočakávané daňové oznámenia, naliehavé finančné žiadosti, žiadosti o inštaláciu prehliadačov alebo aktualizácií, všeobecné pozdravy, podozrivé odkazy a nevyžiadané prílohy by sa mali brať s opatrnosťou. Vládne agentúry zvyčajne neposielajú prekvapivé inštalátory softvéru prostredníctvom nevyžiadaných e-mailových kampaní.

Záverečné hodnotenie

E-maily s daňovými dokumentmi od IRS sú podvodným spôsobom distribúcie škodlivého softvéru, ktorý zneužíva meno IRS na oklamanie príjemcov. Obete sú presmerované na falošnú stránku na stiahnutie softvéru Adobe, kde maskovaný inštalátor nasadí softvér na vzdialený prístup, ktorý môže útočníkom odovzdať kontrolu nad systémom. Tieto e-maily by sa mali okamžite odstrániť a nemali by sa otvárať žiadne odkazy ani prílohy.