Phần mềm độc hại gửi email tài liệu thuế IRS

Luôn cảnh giác khi nhận được email bất ngờ là điều vô cùng cần thiết. Tội phạm mạng thường ngụy trang các tin nhắn độc hại thành các thông báo chính thức từ các tổ chức đáng tin cậy để đánh cắp dữ liệu hoặc lây nhiễm thiết bị. Chiến dịch email giả mạo "Tài liệu Thuế IRS" là một ví dụ điển hình. Những tin nhắn này không liên quan đến bất kỳ công ty, tổ chức, cơ quan chính phủ hợp pháp nào, hoặc Cục Thuế Nội địa (IRS) thực sự.

Lừa đảo qua email bằng phần mềm độc hại liên quan đến tài liệu thuế của IRS là gì?

Các email chứa thông tin về tài liệu thuế của IRS là một dạng thư rác độc hại, được tạo ra nhằm mục đích phát tán phần mềm độc hại. Chúng mạo danh IRS và thông báo sai cho người nhận rằng các tài liệu thuế chính thức cho năm thuế 2025 đã có sẵn để tải xuống an toàn.

Để tạo cảm giác hợp pháp giả tạo, các email này thường bắt đầu bằng "Kính gửi người nộp thuế" và bao gồm các chi tiết như số điện thoại thật của IRS và địa chỉ gửi thư tại Washington, DC. Chúng cũng có nút "Tải xuống Trình xem An toàn" nổi bật và tuyên bố rằng các tài liệu được mã hóa và cần một trình xem đặc biệt để mở.

Những lời quảng cáo này là gian lận và nhằm mục đích lừa người nhận nhấp vào liên kết được cung cấp.

Chuỗi lây nhiễm hoạt động như thế nào?

Nhấp vào nút này sẽ chuyển hướng người dùng đến một trang web của bên thứ ba được thiết kế giống với trang tải xuống chính thức của Adobe Acrobat. Trang này có thể thông báo rằng Adobe Reader bị thiếu hoặc đã lỗi thời và cần phải cập nhật trước khi có thể xem các tệp thuế.

Sau đó, một tệp có tên 'Adobe_Install.msi' sẽ được tải xuống. Mặc dù tên gọi như vậy, trình cài đặt này không có liên hệ hợp pháp nào với Adobe.

Khi được thực thi, tệp tin này không cài đặt phần mềm Adobe. Thay vào đó, nó âm thầm triển khai TiFlux, một nền tảng quản lý CNTT và máy tính từ xa chính hãng được phát triển bởi một công ty Brazil. Tuy nhiên, trong chiến dịch này, phần mềm bị lạm dụng như một công cụ truy cập từ xa độc hại. Cũng có khả năng phiên bản được phân phối đã bị sửa đổi để bao gồm thêm các khả năng gây hại khác.

Sau khi cài đặt, chương trình có thể được đăng ký trong Windows với tên Ti Service And Agent dưới tên nhà phát hành TiFLUX, trong khi vẫn chạy ngầm ở chế độ nền.

Vì sao phần mềm độc hại này lại nguy hiểm

Một khi kẻ tấn công giành được quyền truy cập từ xa vào hệ thống bị xâm nhập, chúng có thể theo dõi hoạt động, thao tác các tập tin và cài đặt thêm các mối đe dọa khác. Một cuộc xâm nhập thành công có thể làm lộ cả thông tin cá nhân và tài chính.

Các hậu quả có thể xảy ra bao gồm:

• Đánh cắp tài liệu, mật khẩu, dữ liệu trình duyệt hoặc thông tin ngân hàng.
• Cài đặt thêm phần mềm độc hại, chẳng hạn như phần mềm tống tiền, phần mềm gián điệp hoặc phần mềm đánh cắp thông tin đăng nhập.

• Sử dụng máy tính trái phép cho mục đích phạm tội.

• Giám sát lâu dài hoặc sự tồn tại dai dẳng của virus trên thiết bị bị nhiễm.

Bất kỳ ai đã chạy trình cài đặt đều nên cho rằng hệ thống có thể đã bị xâm phạm.

Phải làm gì nếu tập tin đã được mở?

Hành động ngay lập tức là rất quan trọng nếu trình cài đặt đã tải xuống được thực thi. Ngắt kết nối thiết bị khỏi internet có thể giúp hạn chế các hoạt động tấn công tiếp theo trong khi các kiểm tra bảo mật được thực hiện.

Các bước được khuyến nghị bao gồm chạy quét toàn diện phần mềm diệt virus hoặc bảo mật điểm cuối, gỡ bỏ phần mềm đáng ngờ, thay đổi mật khẩu trên thiết bị sạch, kiểm tra tài khoản ngân hàng và email để phát hiện hoạt động trái phép và tìm kiếm sự hỗ trợ từ chuyên gia xử lý sự cố nếu dữ liệu nhạy cảm bị lộ.

Email rác thường phát tán phần mềm độc hại như thế nào?

Tội phạm mạng dựa vào hai phương pháp chính để phát tán thư rác:

Các tệp đính kèm độc hại bao gồm các tập tin thực thi, tài liệu Office, tệp lưu trữ ZIP, PDF, ảnh ISO hoặc tập lệnh. Một số lây nhiễm vào hệ thống ngay lập tức, trong khi những tệp khác yêu cầu người dùng bật macro hoặc khởi chạy nội dung được nhúng.

Các liên kết nhúng chuyển hướng nạn nhân đến các trang phần mềm giả mạo, cổng thông tin giả mạo hoặc các trang chia sẻ tập tin lừa đảo, nơi phần mềm độc hại được tải xuống thủ công hoặc tự động.

Cách nhận biết các chiêu trò lừa đảo tương tự

Các thông báo thuế bất ngờ, yêu cầu tài chính khẩn cấp, yêu cầu cài đặt phần mềm hoặc cập nhật, lời chào chung chung, liên kết đáng ngờ và tệp đính kèm không được yêu cầu đều cần được xử lý thận trọng. Các cơ quan chính phủ thường không gửi trình cài đặt phần mềm bất ngờ thông qua các chiến dịch email không được yêu cầu.

Đánh giá cuối kỳ

Các email giả mạo "Tài liệu Thuế IRS" là một chiêu trò phát tán phần mềm độc hại, lợi dụng danh nghĩa của IRS để lừa đảo người nhận. Nạn nhân sẽ bị chuyển hướng đến một trang tải xuống Adobe giả mạo, nơi một trình cài đặt được ngụy trang sẽ triển khai phần mềm truy cập từ xa, cho phép kẻ tấn công giành quyền kiểm soát hệ thống. Những email này cần được xóa ngay lập tức và không nên mở bất kỳ liên kết hoặc tệp đính kèm nào.