Una campagna di phishing sofisticata sta prendendo di mira i contribuenti indiani, utilizzando false notifiche di accertamento fiscale per distribuire malware di accesso remoto. I ricercatori di CYFIRMA hanno scoperto che gli attaccanti hanno creato un sito web fraudolento che imita le comunicazioni ufficiali del Dipartimento delle Imposte sul Reddito indiano. Il portale falso presenta un ordine di accertamento convincente, completo di riferimenti legali, sanzioni finanziarie e linguaggio urgente per spingere le vittime a cliccare senza pensarci due volte.
Come si svolge l'infezione
Le vittime che interagiscono con il finto avviso vengono invitate a scaricare un archivio ZIP spacciato per documentazione ufficiale. Una volta estratto, l'archivio rivela un file immagine disco che funge da contenitore per il payload malevolo. All'interno si trova un programma loader che attiva silenziosamente un secondo componente, un file DLL camuffato da servizio Windows legittimo. I ricercatori hanno osservato che questo loader utilizza tecniche di reflection progettate per rendere difficile il rilevamento automatico e l'analisi. Entrambi i file sono stati offuscati con un noto strumento di protezione, complicando ulteriormente l'ispezione del codice da parte dei team di sicurezza.
Sponsored Protocol
Il payload è un trojan di accesso remoto
Una volta attivo, il payload si comporta come un Remote Access Trojan, concedendo agli attaccanti un accesso persistente e criptato al computer infetto. Il malware può raccogliere dettagli di sistema, monitorare l'attività dell'utente, verificare quali software di sicurezza sono installati e caricare silenziosamente altri componenti malevoli su comando. La comunicazione con il server degli attaccanti avviene tramite un canale criptato, utilizzando un indirizzo hardcoded tracciato in infrastrutture situate a Hong Kong. Queste capacità indicano un'operazione motivata finanziariamente, piuttosto che una focalizzata su danni immediati, e assomigliano molto a tratti associati a famiglie note di RAT commodity come XWorm. Tuttavia, i ricercatori notano che un'attribuzione conclusiva a uno specifico attore delle minacce rimane non confermata in questa fase.
Sponsored Protocol
Perché questa campagna è importante
Non si tratta di un tentativo di phishing isolato, ma di un pattern più ampio in cui gli attaccanti sfruttano l'ansia da dichiarazione dei redditi per bypassare la cautela degli utenti. Le scoperte di CYFIRMA mostrano che la stessa architettura di loader e payload è stata precedentemente collegata a operatori di ransomware, suggerendo che questa infrastruttura possa servire più tipi di attacco a seconda della vittima. Un software antivirus aggiornato con rilevamento comportamentale rimane una difesa pratica contro questo tipo di distribuzione malware a più stadi. I ricercatori raccomandano di verificare qualsiasi corrispondenza fiscale direttamente attraverso i canali ufficiali del governo, invece di cliccare su link incorporati. Le organizzazioni sono invitate a limitare l'esecuzione di file sconosciuti provenienti da archivi o immagini disco, poiché questa campagna fa molto affidamento su quel metodo di consegna. Per comprendere meglio come i cybercriminali sfruttano l'attesa per attacchi simili, si veda l'analisi sui falsi codici beta di GTA VI. Inoltre, per difendersi, è utile consultare fonti autorevoli come la pagina di Wikipedia sul phishing.
Sponsored Protocol
