Μια νέα καμπάνια ηλεκτρονικού ψαρέματος στοχεύει ενεργά Ινδούς φορολογούμενους και επιχειρήσεις, υποδυόμενος το Τμήμα Φορολογίας Εισοδήματος της Ινδίας.
Οι φορείς απειλών έχουν δημιουργήσει πειστικούς ψεύτικους ιστότοπους που μοιάζουν σχεδόν πανομοιότυποι με επίσημες κυβερνητικές πύλες, χρησιμοποιώντας επείγουσα γλώσσα για να πιέσουν τα θύματα να κατεβάσουν αρχεία με κακόβουλο λογισμικό χωρίς δισταγμό.
Η επίθεση βασίζεται σε έναν δόλιο ιστότοπο που εμφανίζει την ετικέτα “Επίσημη φορολογική ειδοποίηση – Τμήμα Φορολογίας Εισοδήματος, Ινδία“. Σε ανυποψίαστους χρήστες που προσγειώνονται σε αυτήν τη σελίδα παρουσιάζεται κάτι που φαίνεται να είναι μια νόμιμη κρατική ειδοποίηση.
Οι ερευνητές του MalwareHunterTeam εντόπισαν και επισήμαναν τον κακόβουλο τομέα zyisykm[.]κατάστημα στις 27 Απριλίου 2026, φέρνοντας ακόμη μεγαλύτερη προσοχή σε αυτήν την ενεργή απειλή. Η ανάρτηση κέρδισε σημαντική έλξη, συγκεντρώνοντας πάνω από 2.700 προβολές μέσα σε λίγες ώρες από τη δημοσίευσή της.
Τα ευρήματά τους επιβεβαιώθηκαν γρήγορα όταν ο ερευνητής ασφαλείας Szabolcs Schmidt (@smica83) ανέβασε το δείγμα που παραδόθηκε από τον ιστότοπο στο αποθετήριο απειλών MalwareBazaar στο bazaar.abuse.ch, επιβεβαιώνοντας ότι το κουμπί λήψης εξυπηρετούσε ενεργά κακόβουλο περιεχόμενο στους επισκέπτες.
Ο αντίκτυπος αυτής της εκστρατείας είναι σημαντικός επειδή εκμεταλλεύεται το φυσικό άγχος που νιώθουν οι φορολογούμενοι σχετικά με τις προθεσμίες συμμόρφωσης. Πολλοί αποδέκτες, ειδικά εκείνοι με περιορισμένες τεχνικές γνώσεις, είναι πιθανό να πιστεύουν ότι μια ειδοποίηση με εμπορικό σήμα έχει πραγματική εξουσία.
Αυτή η ψυχολογική πίεση τους κάνει πολύ πιο πιθανό να ακολουθούν οδηγίες και να κατεβάζουν αρχεία χωρίς αμφιβολία, κάτι στο οποίο βασίζονται ακριβώς οι επιτιθέμενοι. Ινδοί ιδιώτες και επιχειρήσεις που εργάζονται σε χρηματοοικονομικούς και εταιρικούς τομείς εξακολουθούν να διατρέχουν αυξημένο κίνδυνο καθώς αυτού του είδους οι καμπάνιες συνεχίζουν να εξαπλώνονται.
Αυτή η απειλή δεν υπάρχει μεμονωμένα. Παρόμοιες καμπάνιες που παρατηρήθηκαν πρόσφατα από τις αρχές του 2026 χρησιμοποίησαν πλαστά φορολογικά μηνύματα ηλεκτρονικού ταχυδρομείου για τη διανομή επικίνδυνων οικογενειών κακόβουλου λογισμικού, όπως το τραπεζικό κακόβουλο λογισμικό Blackmoon και τα trojan απομακρυσμένης πρόσβασης XRed.
Η αυξανόμενη συχνότητα αυτών των επιθέσεων κατά τη διάρκεια της περιόδου υποβολής φορολογικών δηλώσεων της Ινδίας δείχνει ότι οι εγκληματίες του κυβερνοχώρου εσκεμμένα χρονίζουν τις δραστηριότητές τους για να εκμεταλλευτούν περιόδους οικονομικής πίεσης και επείγοντος ρυθμιστικού χαρακτήρα.
Πώς λειτουργεί η αλυσίδα μόλυνσης
Η κατανόηση του τρόπου με τον οποίο αυτή η επίθεση εκτυλίσσεται από την αρχή μέχρι το τέλος βοηθά να εξηγηθεί γιατί παραμένει τόσο αποτελεσματική. Η επίθεση ξεκινά όταν ένα θύμα δέχεται ένα ηλεκτρονικό ταχυδρομείο ηλεκτρονικού ψαρέματος ή επισκέπτεται έναν παραπλανητικό ιστότοπο που φέρει επίσημη επωνυμία της κυβέρνησης, με κατασκευασμένους αριθμούς αναφοράς, προθεσμίες συμμόρφωσης και επίσημη γλώσσα που έχει σχεδιαστεί για να δημιουργεί επείγον.
Στη συνέχεια, το θύμα κατευθύνεται να κάνει κλικ σε ένα κουμπί λήψης, το οποίο ανακτά αμέσως ένα κακόβουλο αρχείο ZIP στη συσκευή του.
Μόλις το θύμα εξαγάγει το ληφθέν αρχείο ZIP, βρίσκει ένα εκτελέσιμο αρχείο μέσα. Αυτό το αρχείο είναι συχνά ένα σιωπηλό σταγονόμετρο που βασίζεται σε NSIS, ένας τύπος προγράμματος εγκατάστασης που αποσυμπιέζει και εγκαθιστά αθόρυβα πολλά κακόβουλα στοιχεία στο παρασκήνιο, ενώ το θύμα δεν παρατηρεί τίποτα ύποπτο.
Όπως φαίνεται σε σχετικές καμπάνιες που αναλύθηκαν από ερευνητές ασφαλείας, αυτά τα droppers είναι γνωστό ότι εγκαθιστούν Remote Access Trojans (RAT) και infostealers ικανά να συλλέγουν ευαίσθητα δεδομένα, να καταγράφουν πατήματα πλήκτρων και να συνδέονται ξανά σε διακομιστές εντολών και ελέγχου που ελέγχονται από τον εισβολέα για περαιτέρω οδηγίες.
Για να ολοκληρωθεί η εξαπάτηση, οι εισβολείς περιλαμβάνουν ψεύτικες οδηγίες μέσα στο κακόβουλο πακέτο που ζητούν από τους χρήστες να απενεργοποιήσουν το λογισμικό προστασίας από ιούς πριν εκτελέσουν το αρχείο, ισχυριζόμενοι ότι απαιτείται η χρήση του “πελάτη του Τμήματος Φορολογίας Εισοδήματος”.
Αυτό είναι ένα πολύ γνωστό τέχνασμα κοινωνικής μηχανικής που αφαιρεί την τελευταία γραμμή άμυνας πριν το κακόβουλο λογισμικό εκτελεστεί πλήρως στο σύστημα στόχο.
Οι χρήστες που λαμβάνουν αυτόκλητες φορολογικές ειδοποιήσεις μέσω email ή συναντούν άγνωστους ιστότοπους που ισχυρίζονται ότι εκπροσωπούν το Τμήμα Φορολογίας Εισοδήματος θα πρέπει να επαληθεύσουν την πηγή προτού πραγματοποιήσουν λήψη οτιδήποτε.
Φροντίστε πάντα να επισκέπτεστε μόνο την επίσημη κυβερνητική πύλη στο εισόδημα.gov.in για αυθεντικές επικοινωνίες. Ποτέ μην απενεργοποιείτε το λογισμικό προστασίας από ιούς ή την ασφάλεια βάσει οδηγιών που βρίσκονται μέσα σε οποιοδήποτε αρχείο λήψης.
Οι οργανισμοί θα πρέπει να εκπαιδεύουν τους υπαλλήλους να αναγνωρίζουν τις απόπειρες phishing και να αναφέρουν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου στις ομάδες πληροφορικής τους αμέσως. Εάν πιστεύετε ότι η συσκευή σας έχει παραβιαστεί, απομονώστε την από το δίκτυο και επικοινωνήστε αμέσως με έναν εξειδικευμένο επαγγελματία κυβερνοασφάλειας.
VIA: cybersecuritynews.com
