Злонамерни софтвер за е-пошту са пореским документима IRS-а

Остајање опрезним када се бавите неочекиваним имејловима је неопходно. Сајбер криминалци често прикривају злонамерне поруке као званичне комуникације од поузданих институција како би украли податке или заразили уређаје. Такозвана имејл кампања са пореским документима Пореске управе (IRS) је један такав пример. Ове поруке нису повезане ни са једном легитимном компанијом, организацијом, владином агенцијом или правом Пореском управом (IRS).

Шта је превара са злонамерним софтвером за пореске документе Пореске управе САД (IRS)?

Имејлови са пореским документима Пореске управе САД (IRS) су облик малспама, спам порука креираних посебно за дистрибуцију злонамерног софтвера. Оне се представљају као Пореска управа САД (IRS) и лажно обавештавају примаоце да су званични порески документи за пореску 2025. годину доступни за безбедно преузимање.

Да би се створио лажни осећај легитимности, имејлови често почињу са „Поштовани порески обвезниче“ и укључују детаље као што су прави број телефона Пореске управе (IRS) и поштанска адреса у Вашингтону. Такође садрже истакнуто дугме „Преузми безбедни прегледач“ и тврде да су документи шифровани и да је за отварање потребан посебан прегледач.

Ове тврдње су лажне и имају за циљ да преваре примаоце да кликну на дати линк.

Како функционише ланац инфекције

Клик на дугме преусмерава кориснике на веб локацију треће стране дизајнирану да подсећа на званичну страницу за преузимање Adobe Acrobat-а. На страници може бити тврдње да Adobe Reader недостаје или је застарео и да је потребно ажурирање пре него што се пореске датотеке могу прегледати.

Затим се преузима датотека под називом „Adobe_Install.msi“. Упркос свом имену, овај инсталатер нема легитимну везу са компанијом Adobe.

Када се покрене, датотека не инсталира Adobe софтвер. Уместо тога, она тихо покреће TiFlux, праву платформу за удаљени рад са рачунаром и ИТ управљање коју је развила бразилска компанија. Међутим, у овој кампањи софтвер се злоупотребљава као злонамерни алат за удаљени приступ. Постоји и могућност да је дистрибуирана верзија измењена како би укључила додатне штетне могућности.

Након инсталације, програм се може регистровати у оперативном систему Windows као Ti Service And Agent под именом издавача TiFLUX, док тихо ради у позадини.

Зашто је овај злонамерни софтвер опасан

Када нападачи добију даљински приступ компромитованом систему, могу бити у могућности да прате активности, манипулишу датотекама и инсталирају додатне претње. Успешна компромитација може открити и личне и финансијске податке.

Могуће последице укључују:

• Крађа докумената, лозинки, података прегледача или банковних података
• Инсталација додатног злонамерног софтвера, као што су ransomware, spyware или крадљивци акредитива

• Неовлашћено коришћење рачунара за криминалне активности

• Дугорочни надзор или перзистентност на зараженом уређају

Свако ко је покренуо инсталер требало би да претпостави да је систем можда угрожен.

Шта урадити ако је датотека отворена

Непосредна акција је кључна ако је преузети инсталатер покренут. Искључивање уређаја са интернета може помоћи у ограничавању даљих активности нападача док се врше безбедносне провере.

Препоручени кораци укључују покретање потпуног антивирусног или безбедносног скенирања крајњих тачака, уклањање сумњивог софтвера, промену лозинки са чистог уређаја, преглед банкарских и имејл налога за неовлашћене активности и тражење стручне помоћи за реаговање на инциденте ако су осетљиви подаци били изложени.

Како нежељене е-поруке обично шире злонамерни софтвер

Сајбер криминалци се ослањају на два основна начина испоруке у кампањама спама:

Злонамерни прилози као што су извршне датотеке, Office документи, ZIP архиве, PDF-ови, ISO слике или скрипте. Неки одмах инфицирају системе, док други захтевају од корисника да омогуће макрое или покрену уграђени садржај.

Уграђени линкови који преусмеравају жртве на лажне странице са софтвером, фалсификоване портале или обмањујуће сајтове за дељење датотека где се злонамерни софтвер преузима ручно или аутоматски.

Како препознати сличне преваре

Неочекивана пореска обавештења, хитни финансијски захтеви, захтеви за инсталирање прегледача или ажурирања, генеричке честитке, сумњиве везе и непожељне прилоге треба третирати са опрезом. Владине агенције обично не шаљу изненадне инсталатере софтвера путем непожељних имејл кампања.

Завршна процена

Имејлови са пореским документима Пореске управе САД (IRS) су превара дистрибуције злонамерног софтвера која злоупотребљава име Пореске управе САД (IRS) да би обманула примаоце. Жртве се преусмеравају на лажну страницу за преузимање Adobe-а где прикривени инсталатер инсталира софтвер за даљински приступ који може да преда контролу над системом нападачима. Ове имејлове треба одмах избрисати и не треба отварати никакве линкове или прилоге.