Οι εγκληματίες του κυβερνοχώρου έχουν οπλίσει όλο και περισσότερο την περίοδο υποβολής δήλωσης φόρου εισοδήματος (ITR) για να ενορχηστρώσουν εξελιγμένες εκστρατείες ηλεκτρονικού ψαρέματος που στοχεύουν ινδικές επιχειρήσεις.
Εκμεταλλευόμενοι το άγχος του κοινού γύρω από τα χρονοδιαγράμματα φορολογικής συμμόρφωσης και επιστροφής χρημάτων, οι επιτιθέμενοι έχουν δημιουργήσει θέλγητρα υψηλής πιστότητας που μιμούνται τις επίσημες κυβερνητικές επικοινωνίες.
Το τελευταίο κύμα αυτών των επιθέσεων περιλαμβάνει μια σχολαστικά σχεδιασμένη αλυσίδα μόλυνσης που ξεκινά με ένα email spear-phishing και καταλήγει στην ανάπτυξη επίμονου κακόβουλου λογισμικού ικανού για πλήρη παραβίαση του συστήματος.
Το αρχικό διάνυσμα επίθεσης φτάνει ως θέμα ηλεκτρονικού ταχυδρομείου με την ετικέτα “Ειδοποίηση αναθεώρησης φορολογικής συμμόρφωσης”, υποτίθεται από το Τμήμα Φορολογίας Εισοδήματος.
 (Source - Seqrite).webp.png "Ινδικό θέμα Φόρου Εισοδήματος Επιτίθεται σε επιχειρήσεις με αλυσίδα μόλυνσης πολλαπλών σταδίων")
Μια πιο προσεκτική επιθεώρηση αποκαλύπτει ότι ο αποστολέας χρησιμοποιεί ένα ύποπτο Outlook[.]διεύθυνση com και όχι επίσημος κυβερνητικός τομέας.
Συγκεκριμένα, το σώμα του email δεν περιέχει πραγματικό κείμενο. Αντίθετα, διαθέτει μια ενσωματωμένη εικόνα που δεν διακρίνεται από μια γνήσια ειδοποίηση, παρακάμπτοντας ουσιαστικά τα τυπικά φίλτρα ανεπιθύμητης αλληλογραφίας που βασίζονται σε κείμενο.
Αυτό δημιουργεί μια ψευδή αίσθηση επείγοντος με την αναφορά κατασκευασμένων προθεσμιών και αστοχιών συμμόρφωσης.
.webp.jpeg "Ινδικό θέμα Φόρου Εισοδήματος Επιτίθεται σε επιχειρήσεις με αλυσίδα μόλυνσης πολλαπλών σταδίων")
Οι παραλήπτες καλούνται να ανοίξουν ένα συνημμένο με την ονομασία “Review Annexure.pdf”, το οποίο μιμείται ένα νόμιμο φορολογικό έγγραφο. Αυτό το PDF περιέχει έναν κακόβουλο σύνδεσμο που κατευθύνει τους χρήστες σε μια δόλια πύλη συμμόρφωσης.
Αναλυτές της Seqrite αναγνωρισθείς ότι αυτή η πύλη ενεργοποιεί αμέσως τη λήψη ενός αρχείου ZIP, ενώ δίνει οδηγίες στους χρήστες να απενεργοποιήσουν το λογισμικό προστασίας από ιούς υπό το πρόσχημα των «προβλημάτων συμβατότητας».
Μηχανισμός μόλυνσης και επιμονή
Η τεχνική πολυπλοκότητα αυτής της καμπάνιας γίνεται εμφανής μόλις το θύμα ασχοληθεί με το ληφθέν ωφέλιμο φορτίο.
Η διαδικασία μόλυνσης χρησιμοποιεί ένα πρόγραμμα εγκατάστασης NSIS δύο σταδίων που αποσυσκευάζει πολλά αρχεία για να δημιουργήσει μια βάση στο μηχάνημα του θύματος.
.webp.jpeg "Ινδικό θέμα Φόρου Εισοδήματος Επιτίθεται σε επιχειρήσεις με αλυσίδα μόλυνσης πολλαπλών σταδίων")
Το κακόβουλο λογισμικό δεν κλέβει απλώς δεδομένα. εγκαθιστά μια μόνιμη υπηρεσία που ονομάζεται NSecRTS.exe για να διασφαλίσει ότι εκτελείται αυτόματα στο παρασκήνιο.
Αυτή η υπηρεσία επικοινωνεί με διακομιστές Command and Control (C2) μέσω μη τυπικών θυρών, όπως 48991 και 48992, όπως φαίνεται στην εικόνα Infection Chain of Attack.
Οι ερευνητές σημείωσαν ότι οι τεχνικοί δείκτες, συμπεριλαμβανομένης της χρήσης Απλοποιημένης Κινεζικής γλώσσας και συγκεκριμένων πιστοποιητικών υπογραφής κωδικών, υποδηλώνουν ότι το εργαλείο προέρχεται από ένα περιβάλλον ανάπτυξης που συνδέεται με την Κίνα.
Αυτός ο μετασχηματισμός από ένα απλό email ηλεκτρονικού ψαρέματος σε ένα πλήρως λειτουργικό Remote Access Trojan (RAT) υπογραμμίζει την κρίσιμη ανάγκη για επαγρύπνηση έναντι τέτοιων απειλών πολλαπλών σταδίων.
