Фишинговая кампания под видом налоговой службы Индии использует сложное многоступенчатое вредоносное ПО

phishing

В конце мая 2026 года специалисты по информационной безопасности зафиксировали крупную фишинговую атаку, нацеленную на пользователей в Индии и, вероятно, других странах Азии. Злоумышленники маскировались под официальные налоговые органы и использовали сложную многоступенчатую архитектуру вредоносного ПО, которое почти не оставляет следов на диске. Эта кампания угрожает как обычным гражданам, так и сотрудникам предприятий, особенно тем, кто работает с финансовой документацией.

Описание

Атака начинается с электронного письма, которое имитирует уведомление от налоговой службы Индии. В нём применяются официальная символика, двуязычный текст и угрозы штрафов за несоблюдение сроков. Авторы письма требуют скачать "налоговые документы" в течение 48 часов. Для повышения доверия они используют подмену отправителя: в адресе видна часть "enforcementincometax.gov.in", но настоящий домен принадлежит злоумышленникам. Письмо проходит проверки SPF, DKIM и DMARC, поскольку они применяются к поддельному домену, а не к настоящему государственному. Для доставки используется легитимный сервис SendGrid, что снижает подозрения.

После перехода по ссылке жертва попадает на фишинговый сайт, внешне неотличимый от портала налоговой службы. На странице есть кнопка для скачивания ZIP-архива с "налоговыми документами". Исследователи обратили внимание, что та же инфраструктура используется для подражания японскому налоговому порталу, что говорит о масштабной кампании с возможностью быстрой смены тематики для разных стран.

Скачанный архив содержит три файла: "कर विवरण.exe" (это исполняемый файл на хинди, обозначающий название отчёта), SbieDll.dll (библиотека) и SbieDll.bin (двоичный файл). Первый файл служит начальным загрузчиком. Он проверяет, не запущен ли уже экземпляр вредоносной программы, с помощью мьютекса (объекта синхронизации), и определяет версию операционной системы. Затем он динамически загружает системные библиотеки и устанавливает перехватчики (хуки) API-функций.

Документ с детальным анализом кампании, опубликованный специалистами по кибербезопасности, описывает, как работает второй этап. После установки хуков запускается SbieDll.dll. Этот компонент использует технику перехвата порядка загрузки DLL: Windows ищет библиотеку сначала в папке приложения, а не в системной директории, поэтому вредоносная DLL загружается вместо легитимной. Библиотека содержит механизмы обфускации: она обрабатывает поток выполнения через генератор псевдослучайных чисел Mersenne Twister, что делает поведение программы непредсказуемым для систем обнаружения. Также применяется расшифровка строк через локальное хранилище потока (TLS) и выполнение кода через COM-интерфейс IContextCallback, чтобы избежать вызова стандартных API для создания потоков, за которыми часто следят защитные решения.

Следующая стадия - загрузка SbieDll.bin. Этот файл содержит зашифрованный шелл-код (вредоносный код, выполняемый в памяти). Для шифрования используется модифицированный потоковый шифр RC4, который сложнее обнаружить стандартными сигнатурами. После расшифровки загрузчик вручную восстанавливает Portable Executable (исполняемый файл Windows) прямо в памяти, без обращения к функции LoadLibrary() и без записи на диск. Это называется рефлексивной загрузкой PE. Дополнительно применяется уплощение потока управления (Control Flow Flattening) на основе LLVM: обычная логика программы заменяется диспетчером с математическими преобразованиями, что сильно затрудняет обратную разработку.

Завершающий этап - установка связи с сервером управления. Вредоносное ПО использует библиотеку libwebsockets для организации канала через протокол WebSocket. Сначала отправляется обычный HTTP-запрос, затем соединение обновляется до WebSocket (код 101 Switching Protocols). Такой трафик неотличим от легитимных веб-приложений. Злоумышленники также предусмотрели поддержку корпоративных прокси: в коде обнаружены строки CONNECT %s:%u HTTP/1.0. Адреса серверов не зашиты жёстко, а поставляются динамически во время выполнения.

В ходе динамического анализа вредоносная программа внедрилась в процессы svchost.exe и mitmweb.exe, а также установила соединение с IP-адресом 43.128.54.184 по порту 1234. Это подтверждает, что злоумышленники получают полный контроль над заражённым устройством.

Последствия такой атаки крайне серьёзны. Жертва может потерять доступ к личным данным, банковским счетам, корпоративной информации. Из-за работы исключительно в памяти традиционные антивирусы часто пропускают такое ПО. Кроме того, многоступенчатая архитектура и использование легитимных сервисов доставки писем затрудняют блокировку на ранних этапах.

На данный момент атрибуция кампании остаётся неполной. В коде фишинговых страниц обнаружены китайскоязычные комментарии, например фраза "官方税务通知" ("официальное налоговое уведомление"). Это может указывать на использование инструментов разработки на китайском языке или повторное использование шаблонов. Однако специалисты отмечают, что таких данных недостаточно для окончательного вывода.

Эта кампания демонстрирует эволюцию угроз в сфере информационной безопасности. Злоумышленники комбинируют психологическое давление на жертву с технически сложными методами обхода защиты. Для противодействия таким атакам необходимо усиливать обучение сотрудников распознаванию фишинга, внедрять современные системы защиты электронной почты и использовать решения, способные анализировать поведение программ в памяти. Регулярные учения по реагированию на инциденты и охота за угрозами также помогут своевременно выявлять подобные многоступенчатые атаки.

Индикаторы компрометации

IPv4

  • 43.128.54.184

Domains

  • appradarr.cc
  • asdqxcdsa.icu
  • d.pc-weide.com
  • guhxmg.com
  • naiqja.icu
  • taxations.cn-web-okooo.com
  • taxations.indiagov.it.com
  • ws4962.com
  • zhengfu666.com
  • zh-welcome-1xbet.com

SHA256

  • 185b7a487316454da04e9cc0fe6eb370bb2955cf6096fe3e8c02c46f8989ba37
  • 4c9061a07d667bf7dd6f597a43a8552af2f4277b7be06d6ea138abdb668d6a49
  • 7d87a86dbd2379ef2516c99258137cd9c25ca19c48aeb096c5332c02fcbf16d0
  • 949acbe543fc244ffbc981ea169067da7c5792af3c3d19b2c31b3d7e19106880
  • be31a63cad112723178289968ad6f93a576c5a7984099c42eec3521cdf6e5fc0

YARA

Комментарии: 0