Logiciel malveillant de messagerie électronique contenant des documents fiscaux de l'IRS

Il est essentiel de rester vigilant face aux courriels inattendus. Les cybercriminels dissimulent fréquemment des messages malveillants sous l'apparence de communications officielles provenant d'institutions de confiance afin de voler des données ou d'infecter des appareils. La campagne de courriels frauduleux se faisant passer pour des documents fiscaux de l'IRS en est un exemple. Ces messages ne sont associés à aucune entreprise, organisation, agence gouvernementale légitime, ni au véritable service des impôts (IRS).

Qu’est-ce que l’escroquerie par courriel utilisant un logiciel malveillant pour se faire passer pour des documents fiscaux de l’IRS ?

Les courriels prétendant contenir des documents fiscaux de l'IRS sont une forme de spam malveillant, c'est-à-dire des messages indésirables conçus spécifiquement pour diffuser des logiciels malveillants. Ils usurpent l'identité de l'IRS et informent faussement les destinataires que les documents fiscaux officiels pour l'année d'imposition 2025 sont disponibles en téléchargement sécurisé.

Pour donner une fausse impression de légitimité, ces courriels commencent souvent par « Cher contribuable » et contiennent des informations telles qu'un véritable numéro de téléphone du fisc américain (IRS) et une adresse postale à Washington, D.C. Ils comportent également un bouton « Télécharger la visionneuse sécurisée » bien visible et prétendent que les documents sont cryptés et nécessitent une visionneuse spéciale pour être ouverts.

Ces affirmations sont frauduleuses et visent à inciter les destinataires à cliquer sur le lien fourni.

Comment fonctionne la chaîne de transmission des infections

Cliquer sur le bouton redirige les utilisateurs vers un site web tiers conçu pour ressembler à une page de téléchargement officielle d'Adobe Acrobat. Cette page peut indiquer qu'Adobe Reader est manquant ou obsolète et qu'une mise à jour est nécessaire pour consulter les fichiers fiscaux.

Un fichier nommé « Adobe_Install.msi » est alors téléchargé. Malgré son nom, ce programme d'installation n'a aucun lien légitime avec Adobe.

Lors de son exécution, le fichier n'installe aucun logiciel Adobe. Il déploie en revanche TiFlux, une plateforme de bureau à distance et de gestion informatique authentique, développée par une entreprise brésilienne. Dans le cadre de cette campagne, le logiciel est cependant détourné et utilisé comme outil malveillant d'accès à distance. Il est également possible que la version distribuée ait été modifiée pour inclure des fonctionnalités nuisibles supplémentaires.

Après l'installation, le programme peut s'enregistrer dans Windows sous le nom de Ti Service And Agent, sous le nom d'éditeur TiFLUX, tout en fonctionnant discrètement en arrière-plan.

Pourquoi ce logiciel malveillant est dangereux

Une fois qu'ils obtiennent un accès à distance à un système compromis, les attaquants peuvent surveiller l'activité, manipuler des fichiers et installer des menaces supplémentaires. Une compromission réussie peut exposer des informations personnelles et financières.

Les conséquences possibles sont les suivantes :

• Vol de documents, de mots de passe, de données de navigation ou d'informations bancaires
• Installation de logiciels malveillants supplémentaires, tels que des ransomwares, des logiciels espions ou des voleurs d'identifiants

• Utilisation non autorisée de l'ordinateur à des fins criminelles

• Surveillance à long terme ou persistance sur l'appareil infecté

Toute personne ayant exécuté le programme d'installation doit considérer que le système peut être compromis.

Que faire si le fichier a été ouvert ?

Il est crucial d'agir immédiatement si le programme d'installation téléchargé a été exécuté. Déconnecter l'appareil d'Internet peut contribuer à limiter les activités de l'attaquant pendant la réalisation des vérifications de sécurité.

Les mesures recommandées comprennent l'exécution d'une analyse antivirus complète ou d'une analyse de sécurité des terminaux, la suppression des logiciels suspects, la modification des mots de passe à partir d'un appareil sain, la vérification des comptes bancaires et de messagerie pour détecter toute activité non autorisée et la recherche d'une assistance professionnelle en matière de réponse aux incidents si des données sensibles ont été exposées.

Comment les courriels indésirables propagent couramment les logiciels malveillants

Les cybercriminels s'appuient sur deux méthodes de diffusion principales dans leurs campagnes de spam :

Les pièces jointes malveillantes peuvent inclure des fichiers exécutables, des documents Office, des archives ZIP, des PDF, des images ISO ou des scripts. Certaines infectent immédiatement les systèmes, tandis que d'autres nécessitent l'activation de macros ou le lancement de contenu intégré.

Des liens intégrés qui redirigent les victimes vers de fausses pages de logiciels, des portails contrefaits ou des sites de partage de fichiers trompeurs où des logiciels malveillants sont téléchargés manuellement ou automatiquement.

Comment reconnaître les arnaques similaires

Les avis d'imposition inattendus, les demandes financières urgentes, les demandes d'installation de visionneuses ou de mises à jour, les messages génériques, les liens suspects et les pièces jointes non sollicitées doivent tous être traités avec prudence. Les organismes gouvernementaux n'envoient généralement pas de programmes d'installation de logiciels par courriel non sollicité.

Évaluation finale

Les courriels prétendant contenir des documents fiscaux de l'IRS sont une escroquerie utilisant un logiciel malveillant et usurpant l'identité de l'IRS pour tromper les destinataires. Les victimes sont redirigées vers une fausse page de téléchargement Adobe où un programme d'installation dissimulé déploie un logiciel d'accès à distance permettant aux attaquants de prendre le contrôle du système. Il est impératif de supprimer immédiatement ces courriels et d'ouvrir tous les liens et pièces jointes.