Фишинговая кампания под видом налогового уведомления

Исследователи CYFIRMA сообщили о новой вредоносной кампании, в которой злоумышленники маскируют атаку под официальное налоговое уведомление. Для доставки вредоносного кода используется фишинговая приманка на тему индийского Департамента доходов, а основной инфраструктурой служит поддельный веб-сайт на домене harivo.vip.

По данным отчета, кампания построена так, чтобы создать у жертвы ощущение срочности и законности запроса: в сообщении используется юридический язык и акцент на необходимости немедленного соблюдения требований. Пользователю предлагается загрузить архив Tax_Assessment_0609.zip, который после распаковки приводит к запуску цепочки заражения с несколькими этапами доставки payload.

Как работает схема заражения

После извлечения архива жертва получает вредоносный disk image с именем Tax_Assessment.img. Внутри находятся несколько компонентов malware, включая:

• Tax_Assessment.exe — исполняемый файл, выполняющий роль loader;
• libsvcs.dll — библиотека, содержащая основной вредоносный функционал.

Технический анализ показал, что Tax_Assessment.exe использует .NET reflection для динамической загрузки DLL. Такой подход помогает скрыть вредоносные намерения и существенно осложняет static analysis. Оба файла были obfuscated с помощью ConfuserEx, что дополнительно затрудняет обнаружение и reverse engineering.

Функциональность RAT и канал связи с C2

Компонент libsvcs.dll демонстрирует типичные возможности RAT. Среди них:

• обеспечение persistent access через backdoor;
• сбор system information;
• remote command execution через encrypted communication channels.

Согласно отчету, binary настроен на подключение к hardcoded Command-and-Control (C2) серверу по адресу 103.231.12.27:4444 с использованием встроенного 32-byte encryption key для защищенной коммуникации.

Социальная инженерия и многоэтапная архитектура атаки

CYFIRMA считает, что злоумышленники мотивированы financial gain и активно применяют social engineering для обмана целей. Оперативная схема атаки выглядит структурированной: она сочетает вводящие в заблуждение документы, скрытые механизмы выполнения кода и модификацию system registry.

Такой дизайн позволяет повысить гибкость кампании и одновременно снизить риск обнаружения. По сути, атака использует классическую многоступенчатую модель заражения, где каждая следующая стадия маскирует предыдущую.

География инфраструктуры и вопрос атрибуции

Отчет отмечает, что инфраструктура C2 указывает на географическое положение в Гонконге. Однако исследователи подчеркивают: это не является окончательным доказательством происхождения атакующих. Злоумышленники нередко используют compromised systems и third-party hosting, чтобы скрыть следы и усложнить attribution.

Таким образом, несмотря на наличие региональных индикаторов, полная атрибуция кампании остается неопределенной.

Рекомендации для организаций

CYFIRMA рекомендует компаниям и государственным структурам усилить меры защиты в отношении подобных атак. В первую очередь речь идет о следующих шагах:

• усиление monitoring в отношении phishing-атак на tax theme;
• укрепление security controls вокруг executable files;
• улучшение detection механизмы для выявления suspicious behavior, связанного с loader-операциями и DLL;
• оперативная проверка коммуникаций, связанных с потенциально malicious infrastructure.

На фоне этой кампании особое внимание следует уделять сообщениям, имитирующим официальные уведомления государственных органов. Именно такие приманки чаще всего оказываются наиболее убедительными и опасными.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Фишинговая кампания под видом налогового уведомления".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.