E-Mail-Malware für IRS-Steuerdokumente

Es ist unerlässlich, beim Umgang mit unerwarteten E-Mails wachsam zu bleiben. Cyberkriminelle tarnen Schadsoftware häufig als offizielle Mitteilungen vertrauenswürdiger Institutionen, um Daten zu stehlen oder Geräte zu infizieren. Die sogenannte IRS-Steuerdokumente-E-Mail-Kampagne ist ein Beispiel dafür. Diese Nachrichten stammen von keinem seriösen Unternehmen, keiner Organisation, keiner Regierungsbehörde und auch nicht vom echten Internal Revenue Service (IRS).

Was ist die E-Mail-Betrugsmasche mit gefälschten IRS-Steuerdokumenten?

Die E-Mails mit angeblichen IRS-Steuerdokumenten sind eine Form von Malspam, also Spam-Nachrichten, die speziell zur Verbreitung von Schadsoftware erstellt werden. Sie geben sich als IRS aus und informieren die Empfänger fälschlicherweise darüber, dass offizielle Steuerdokumente für das Steuerjahr 2025 zum sicheren Download bereitstehen.

Um einen falschen Eindruck von Seriosität zu erwecken, beginnen die E-Mails oft mit „Sehr geehrter Steuerzahler“ und enthalten Angaben wie eine echte Telefonnummer des Finanzamts und eine Postanschrift in Washington, D.C. Außerdem bieten sie einen prominent platzierten Button zum Herunterladen eines sicheren Viewers und behaupten, die Dokumente seien verschlüsselt und erforderten einen speziellen Viewer zum Öffnen.

Diese Behauptungen sind betrügerisch und zielen darauf ab, die Empfänger dazu zu verleiten, auf den bereitgestellten Link zu klicken.

Wie die Infektionskette funktioniert

Durch Klicken auf die Schaltfläche werden Nutzer auf eine Webseite eines Drittanbieters weitergeleitet, die einer offiziellen Adobe Acrobat-Downloadseite nachempfunden ist. Auf der Seite wird möglicherweise behauptet, dass Adobe Reader fehlt oder veraltet ist und ein Update erforderlich ist, bevor die Steuerdateien angezeigt werden können.

Anschließend wird eine Datei namens „Adobe_Install.msi“ heruntergeladen. Trotz ihres Namens besteht bei diesem Installationsprogramm keine legitime Verbindung zu Adobe.

Die Datei installiert beim Ausführen keine Adobe-Software. Stattdessen wird im Hintergrund TiFlux installiert, eine offizielle Remote-Desktop- und IT-Management-Plattform eines brasilianischen Unternehmens. In dieser Kampagne wird die Software jedoch als Schadsoftware für den Fernzugriff missbraucht. Es besteht außerdem die Möglichkeit, dass die verbreitete Version manipuliert wurde und zusätzliche schädliche Funktionen enthält.

Nach der Installation kann sich das Programm unter Windows als Ti Service And Agent unter dem Herausgebernamen TiFLUX registrieren und läuft dabei unauffällig im Hintergrund.

Warum diese Malware gefährlich ist

Sobald Angreifer Fernzugriff auf ein kompromittiertes System erlangt haben, können sie Aktivitäten überwachen, Dateien manipulieren und weitere Schadsoftware installieren. Ein erfolgreicher Angriff kann sowohl persönliche als auch finanzielle Daten offenlegen.

Mögliche Folgen sind:

• Diebstahl von Dokumenten, Passwörtern, Browserdaten oder Bankdaten
• Installation weiterer Schadsoftware, wie z. B. Ransomware, Spyware oder Anmeldeinformationsdiebstahlprogramme.

• Unbefugte Nutzung des Computers für kriminelle Aktivitäten

• Langzeitüberwachung oder Persistenz auf dem infizierten Gerät

Wer das Installationsprogramm ausgeführt hat, sollte davon ausgehen, dass das System möglicherweise kompromittiert ist.

Was tun, wenn die Datei geöffnet wurde?

Sofortiges Handeln ist unerlässlich, wenn das heruntergeladene Installationsprogramm ausgeführt wurde. Durch Trennen des Geräts vom Internet kann die weitere Aktivität von Angreifern eingeschränkt werden, während Sicherheitsüberprüfungen durchgeführt werden.

Zu den empfohlenen Schritten gehören die Durchführung eines vollständigen Antiviren- oder Endpoint-Security-Scans, das Entfernen verdächtiger Software, das Ändern von Passwörtern von einem sauberen Gerät aus, die Überprüfung von Bank- und E-Mail-Konten auf unberechtigte Aktivitäten sowie die Inanspruchnahme professioneller Unterstützung bei der Reaktion auf Sicherheitsvorfälle, falls sensible Daten offengelegt wurden.

Wie Spam-E-Mails häufig Schadsoftware verbreiten

Cyberkriminelle setzen bei Spam-Kampagnen hauptsächlich auf zwei Zustellungsmethoden:

Schädliche Anhänge wie ausführbare Dateien, Office-Dokumente, ZIP-Archive, PDFs, ISO-Images oder Skripte. Einige infizieren Systeme sofort, während andere die Aktivierung von Makros oder das Starten eingebetteter Inhalte erfordern.

Eingebettete Links, die Opfer auf gefälschte Softwareseiten, nachgemachte Portale oder betrügerische Filesharing-Seiten weiterleiten, wo Schadsoftware manuell oder automatisch heruntergeladen wird.

Wie man ähnliche Betrugsmaschen erkennt

Unerwartete Steuerbescheide, dringende Finanzanfragen, Aufforderungen zur Installation von Software oder Updates, allgemeine Begrüßungen, verdächtige Links und unerwünschte Anhänge sollten mit Vorsicht behandelt werden. Behörden versenden in der Regel keine unerwarteten Software-Installationsprogramme per E-Mail.

Abschlussbewertung

Die E-Mails mit angeblichen IRS-Steuerdokumenten sind eine Schadsoftware-Verbreitungsmasche, die den Namen des IRS missbraucht, um Empfänger zu täuschen. Opfer werden auf eine gefälschte Adobe-Downloadseite weitergeleitet, wo ein getarntes Installationsprogramm Fernzugriffssoftware installiert, die Angreifern die Kontrolle über das System ermöglicht. Diese E-Mails sollten sofort gelöscht und keine Links oder Anhänge geöffnet werden.