Zlonamerna programska oprema za e-pošto z davčnimi dokumenti IRS

Pri obravnavanju nepričakovanih e-poštnih sporočil je bistvenega pomena ostati pozoren. Kibernetski kriminalci pogosto prikrivajo zlonamerna sporočila kot uradna sporočila zaupanja vrednih institucij, da bi ukradli podatke ali okužili naprave. Tako imenovana e-poštna kampanja z davčnimi dokumenti IRS je en tak primer. Ta sporočila niso povezana z nobenim legitimnim podjetjem, organizacijo, vladno agencijo ali dejansko davčno upravo (IRS).

Kaj je prevara z zlonamerno programsko opremo za davčne dokumente IRS?

E-poštna sporočila z davčnimi dokumenti IRS so oblika neželene pošte, tj. neželene pošte, ustvarjene posebej za distribucijo zlonamerne programske opreme. Predstavljajo se kot IRS in prejemnike lažno obveščajo, da so uradni davčni dokumenti za davčno leto 2025 na voljo za varen prenos.

Da bi ustvarili lažen občutek legitimnosti, se e-poštna sporočila pogosto začnejo z besedami »Spoštovani davkoplačevalec« in vključujejo podrobnosti, kot sta resnična telefonska številka IRS in poštni naslov v Washingtonu, DC. Vsebujejo tudi viden gumb za prenos varnega pregledovalnika in trdijo, da so dokumenti šifrirani in da za odpiranje potrebujete poseben pregledovalnik.

Te trditve so goljufive in namenjene temu, da prejemnike zavedejo, da kliknejo na navedeno povezavo.

Kako deluje veriga okužbe

S klikom na gumb uporabnike preusmeri na spletno mesto tretje osebe, ki je zasnovano tako, da spominja na uradno stran za prenos programa Adobe Acrobat. Na strani se lahko navede, da program Adobe Reader manjka ali je zastarel in da je pred ogledom davčnih datotek potrebna posodobitev.

Nato se prenese datoteka z imenom »Adobe_Install.msi«. Kljub svojemu imenu ta namestitveni program nima legitimne povezave z družbo Adobe.

Ko se datoteka zažene, ne namesti programske opreme Adobe. Namesto tega tiho namesti TiFlux, pristno platformo za oddaljeno namizje in upravljanje IT, ki jo je razvilo brazilsko podjetje. V tej kampanji pa je programska oprema zlorabljena kot zlonamerno orodje za oddaljeni dostop. Obstaja tudi možnost, da je bila distribuirana različica spremenjena tako, da vključuje dodatne škodljive funkcije.

Po namestitvi se lahko program v sistemu Windows registrira kot Ti Service And Agent pod imenom založnika TiFLUX, medtem ko tiho deluje v ozadju.

Zakaj je ta zlonamerna programska oprema nevarna

Ko napadalci pridobijo oddaljen dostop do ogroženega sistema, lahko spremljajo dejavnosti, manipulirajo z datotekami in nameščajo dodatne grožnje. Uspešna vdorna vloga lahko razkrije tako osebne kot finančne podatke.

Možne posledice vključujejo:

• Kraja dokumentov, gesel, podatkov brskalnika ali bančnih podatkov
• Namestitev dodatne zlonamerne programske opreme, kot so izsiljevalska programska oprema, vohunska programska oprema ali programi za krajo poverilnic

• Nepooblaščena uporaba računalnika za kriminalne dejavnosti

• Dolgoročni nadzor ali vztrajanje na okuženi napravi

Vsak, ki je zagnal namestitveni program, bi moral domnevati, da je sistem morda ogrožen.

Kaj storiti, če je bila datoteka odprta

Takojšnje ukrepanje je ključnega pomena, če je bil preneseni namestitveni program izveden. Prekinitev povezave naprave z internetom lahko pomaga omejiti nadaljnje dejavnosti napadalcev med izvajanjem varnostnih preverjanj.

Priporočeni koraki vključujejo izvedbo popolnega protivirusnega pregleda ali varnostnega pregleda končnih točk, odstranitev sumljive programske opreme, spreminjanje gesel iz čiste naprave, pregled bančnih in e-poštnih računov glede nepooblaščenih dejavnosti ter iskanje strokovne pomoči pri odzivanju na incidente, če so bili razkriti občutljivi podatki.

Kako neželena e-pošta pogosto širi zlonamerno programsko opremo

Kibernetski kriminalci se v kampanjah neželene pošte zanašajo na dva glavna načina dostave:

Zlonamerne priloge, kot so izvedljive datoteke, dokumenti Office, arhivi ZIP, PDF-ji, slike ISO ali skripti. Nekatere takoj okužijo sisteme, druge pa od uporabnikov zahtevajo, da omogočijo makre ali zaženejo vdelano vsebino.

Vdelane povezave, ki žrtve preusmerjajo na strani s ponarejeno programsko opremo, ponarejene portale ali zavajajoča spletna mesta za deljenje datotek, kjer se zlonamerna programska oprema prenaša ročno ali samodejno.

Kako prepoznati podobne prevare

Nepričakovana davčna obvestila, nujne finančne zahteve, zahteve za namestitev pregledovalnikov ali posodobitev, generična voščila, sumljive povezave in neželene priloge je treba obravnavati previdno. Vladne agencije običajno ne pošiljajo presenetljivih namestitvenih programov programske opreme prek neželenih e-poštnih kampanj.

Končna ocena

E-poštna sporočila z davčnimi dokumenti IRS so prevara z distribucijo zlonamerne programske opreme, ki zlorablja ime IRS za zavajanje prejemnikov. Žrtve so preusmerjene na lažno stran za prenos Adobe, kjer prikriti namestitveni program namesti programsko opremo za oddaljeni dostop, ki lahko napadalcem preda nadzor nad sistemom. Ta e-poštna sporočila je treba takoj izbrisati in ne odpirati nobenih povezav ali prilog.