Шкідливе програмне забезпечення для електронної пошти з податковими документами IRS

Важливо залишатися пильним під час роботи з неочікуваними електронними листами. Кіберзлочинці часто маскують шкідливі повідомлення під офіційні повідомлення від надійних установ, щоб викрасти дані або заразити пристрої. Так звана кампанія електронною поштою з податковими документами IRS є одним із таких прикладів. Ці повідомлення не пов’язані з жодною законною компанією, організацією, державним агентством чи справжньою Податковою службою США (IRS).

Що таке шахрайство зі шкідливим програмним забезпеченням для податкових документів IRS електронною поштою?

Електронні листи з податковими документами IRS – це форма спаму, тобто спам-повідомлення, створені спеціально для розповсюдження шкідливого програмного забезпечення. Вони видають себе за IRS та неправдиво інформують одержувачів про те, що офіційні податкові документи за 2025 податковий рік доступні для безпечного завантаження.

Щоб створити хибне відчуття легітимності, електронні листи часто починаються зі слів «Шановний платнику податків» і містять таку інформацію, як справжній номер телефону Податкової служби США та поштова адреса у Вашингтоні, округ Колумбія. Вони також містять помітну кнопку «Завантажити безпечний переглядач» і стверджують, що документи зашифровані та для їх відкриття потрібна спеціальна програма переглядача.

Ці твердження є шахрайськими та мають на меті обманом змусити одержувачів перейти за наданим посиланням.

Як працює ланцюг інфекції

Натискання кнопки перенаправляє користувачів на сторонній веб-сайт, розроблений як офіційна сторінка завантаження Adobe Acrobat. На сторінці може бути зазначено, що Adobe Reader відсутній або застарілий, і що для перегляду податкових файлів потрібне оновлення.

Потім завантажується файл з назвою «Adobe_Install.msi». Незважаючи на свою назву, цей інсталятор не має законного зв’язку з Adobe.

Під час виконання файл не встановлює програмне забезпечення Adobe. Натомість він непомітно розгортає TiFlux, справжню платформу для віддаленого робочого столу та управління ІТ, розроблену бразильською компанією. Однак у цій кампанії програмне забезпечення зловживається як шкідливий інструмент віддаленого доступу. Існує також ймовірність, що розповсюджувана версія була змінена, щоб включити додаткові шкідливі можливості.

Після встановлення програма може зареєструватися у Windows як Ti Service And Agent під іменем видавця TiFLUX, працюючи тихо у фоновому режимі.

Чому це шкідливе програмне забезпечення небезпечне

Щойно зловмисники отримають віддалений доступ до скомпрометованої системи, вони зможуть відстежувати активність, маніпулювати файлами та встановлювати додаткові загрози. Успішна компрометація може розкрити як особисту, так і фінансову інформацію.

Можливі наслідки включають:

• Крадіжка документів, паролів, даних браузера або банківських реквізитів

Будь-хто, хто запускав інсталятор, повинен припустити, що система може бути скомпрометована.

Що робити, якщо файл було відкрито

Якщо завантажений інсталятор було виконано, вкрай важливо вжити негайних заходів. Відключення пристрою від Інтернету може допомогти обмежити подальшу активність зловмисника, поки виконуються перевірки безпеки.

Рекомендовані кроки включають проведення повного антивірусного сканування або сканування безпеки кінцевих точок, видалення підозрілого програмного забезпечення, зміну паролів із чистого пристрою, перевірку банківських облікових записів та облікових записів електронної пошти на наявність несанкціонованої активності та звернення за професійною допомогою у разі викриття конфіденційних даних.

Як спам-листи зазвичай поширюють шкідливе програмне забезпечення

Кіберзлочинці покладаються на два основні методи доставки спаму в спам-кампаніях:

Шкідливі вкладення, такі як виконувані файли, документи Office, ZIP-архіви, PDF-файли, ISO-образи або скрипти. Деякі заражають системи миттєво, тоді як інші вимагають від користувачів увімкнення макросів або запуску вбудованого вмісту.

Вбудовані посилання, які перенаправляють жертв на сторінки фальшивого програмного забезпечення, підроблені портали або шахрайські сайти обміну файлами, де шкідливе програмне забезпечення завантажується вручну або автоматично.

Як розпізнати подібні шахрайства

Несподівані податкові повідомлення, термінові фінансові запити, запити на встановлення програм перегляду або оновлень, шаблонні привітання, підозрілі посилання та небажані вкладення слід розглядати з обережністю. Урядові установи зазвичай не надсилають несподівані інсталятори програмного забезпечення через небажані електронні листи.

Заключна оцінка

Електронні листи з податковими документами IRS – це шахрайство з розповсюдження шкідливого програмного забезпечення, яке використовує назву IRS для обману одержувачів. Жертв перенаправляють на фальшиву сторінку завантаження Adobe, де замаскований інсталятор розгортає програмне забезпечення віддаленого доступу, яке може передати контроль над системою зловмисникам. Ці електронні листи слід негайно видалити, і не відкривати жодних посилань чи вкладень.