Fałszywe narzędzie podatkowe rozsyła DcRAT: kampania phishingowa uderza w użytkowników w Indiach - Security Bez Tabu

Fałszywe narzędzie podatkowe rozsyła DcRAT: kampania phishingowa uderza w użytkowników w Indiach

Cybersecurity news

Wprowadzenie do problemu / definicja

Badacze bezpieczeństwa opisali kampanię phishingową wymierzoną w podatników, księgowych oraz zespoły finansowe w Indiach. Atakujący podszywają się pod urząd skarbowy i dystrybuują złośliwe oprogramowanie pod pozorem legalnego narzędzia do rozliczeń podatkowych, którego celem jest uzyskanie trwałego dostępu do stacji roboczych, kradzież danych oraz przygotowanie gruntu pod dalszą eksfiltrację informacji.

W centrum operacji znajduje się DcRAT, czyli trojan zdalnego dostępu, dostarczany przez wieloetapowy łańcuch infekcji. Kampania pokazuje, że tematyka podatkowa nadal pozostaje wyjątkowo skuteczną przynętą socjotechniczną, szczególnie gdy atak jest dopasowany do lokalnych realiów i kalendarza rozliczeń.

W skrócie

Kampania została zaobserwowana w sezonie rozliczeń podatkowych i wykorzystuje wiadomości spear-phishingowe odwołujące się do rzekomych naruszeń podatkowych oraz kar administracyjnych. Odbiorcy są nakłaniani do otwarcia załączonego pliku PDF i kliknięcia osadzonego odnośnika prowadzącego do fałszywej strony pobierania.

Po wejściu na spreparowaną witrynę ofiara pobiera archiwum ZIP zawierające aplikację udającą oficjalne narzędzie offline do składania deklaracji. W praktyce plik uruchamia mechanizm DLL side-loading, pobiera kolejne komponenty z infrastruktury atakującego, ustanawia trwałość w systemie i finalnie wdraża DcRAT oraz dodatkowy moduł przechwytujący dane.

  • Przynęta wykorzystuje tematykę podatkową i presję administracyjną.
  • Infekcja rozpoczyna się od PDF z odnośnikiem do fałszywej strony pobierania.
  • Łańcuch ataku obejmuje DLL side-loading i mechanizmy antyanalityczne.
  • Na końcu wdrażany jest DcRAT oraz moduł wykonujący zrzuty ekranu.

Kontekst / historia

Operacja została powiązana z aktywnością opisywaną jako Operation DragonReturn. Pierwsze obserwacje tej kampanii pochodzą z 18 maja 2026 roku, a dobór przynęty wskazuje na precyzyjne dopasowanie do lokalnego kontekstu podatkowego i specyfiki indyjskiego rynku.

Wykorzystanie dwujęzycznych treści, odniesień do realnych procedur oraz sezonowości rozliczeń sugeruje dobrze przygotowaną operację, a nie przypadkową kampanię masową. Badacze zwracają też uwagę na elementy infrastrukturalne i podobieństwa operacyjne, które mogą wskazywać na powiązania z aktywnością przypisywaną podmiotom związanym z Chinami.

Choć atrybucja pozostaje ostrożna, zestaw wskaźników technicznych i operacyjnych zwiększa prawdopodobieństwo, że za kampanią stoi aktor dysponujący zapleczem pozwalającym na prowadzenie ukierunkowanych działań przeciwko organizacjom przetwarzającym dane finansowe i podatkowe.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od wiadomości phishingowej podszywającej się pod urząd podatkowy. Ofiara otrzymuje dokument PDF z odnośnikiem do strony imitującej legalny portal pobierania narzędzia do rozliczeń. Po pobraniu archiwum ZIP użytkownik uruchamia plik wykonywalny wyglądający na autentyczne oprogramowanie urzędowe.

Kluczowym elementem ataku jest DLL side-loading. Aplikacja ładuje podstawioną bibliotekę nvdaHelperRemote.dll, która uruchamia kolejny etap infekcji w pamięci. Następnie malware sprawdza poziom uprawnień i może wyświetlić monit UAC, próbując skłonić użytkownika do uruchomienia procesu z podwyższonymi uprawnieniami.

Kolejny etap obejmuje kontrole środowiskowe mające wykryć sandboxy i środowiska analityczne. Jeśli próbka nie wykryje analizy, pobiera z serwera zewnętrznego plik JPG, zapisuje go lokalnie jako plik tła systemowego, a następnie wykorzystuje go jako nośnik ukrytego ładunku. Z obrazu wyodrębniany jest kolejny komponent DLL zapisywany w ścieżce kojarzonej z legalnym oprogramowaniem systemowym.

Malware kopiuje się także pod nazwą Mixed Reality.exe i tworzy usługę systemową MixedSvc, skonfigurowaną do automatycznego uruchamiania wraz ze startem systemu. Ten mechanizm trwałości znacząco utrudnia prostą remediację ograniczoną do usunięcia pojedynczego procesu.

W dalszej fazie wdrażane są dwa odrębne ładunki. Pierwszy to loader .NET odpowiedzialny za kolejne kontrole antyanalityczne, utrzymanie trwałości, wyłączenie skanowania AMSI oraz odszyfrowanie i załadowanie DcRAT. Drugi komponent służy do wykonywania zrzutów ekranu i przesyłania danych do serwera operatora.

  • PDF z linkiem prowadzi do fałszywego portalu pobierania.
  • Archiwum ZIP zawiera pozornie legalny instalator.
  • Uruchamiany jest DLL side-loading z użyciem podstawionej biblioteki.
  • Obraz JPG pełni rolę nośnika ukrytego ładunku.
  • Trwałość zapewnia usługa MixedSvc.
  • Końcowy etap obejmuje wdrożenie DcRAT i modułu do przechwytywania ekranu.

Konsekwencje / ryzyko

Ryzyko związane z kampanią jest wysokie, szczególnie dla działów finansowych, biur rachunkowych i organizacji przetwarzających dane podatkowe oraz osobowe. DcRAT zapewnia atakującemu zdalną kontrolę nad systemem, co może prowadzić do kradzieży poświadczeń, dokumentów, danych klientów, zapisanych sesji przeglądarki oraz informacji księgowych.

Dodatkowy moduł wykonujący zrzuty ekranu zwiększa prawdopodobieństwo przejęcia danych niedostępnych w prosty sposób jako pliki, takich jak jednorazowe kody, panele administracyjne, aplikacje bankowe czy interfejsy systemów księgowych. W praktyce oznacza to wyższe ryzyko długotrwałej, trudnej do wykrycia kompromitacji.

Z perspektywy organizacji skutki mogą obejmować naruszenie poufności danych finansowych, wyciek danych osobowych, oszustwa finansowe, wtórne ataki ransomware oraz wykorzystanie przejętych kont do dalszego phishingu wewnętrznego. W środowiskach ze słabą segmentacją i nadmiernymi uprawnieniami pojedyncza infekcja może otworzyć drogę do szerszej kompromitacji infrastruktury.

Rekomendacje

Organizacje powinny wdrożyć wielowarstwowe kontrole bezpieczeństwa obejmujące zarówno ochronę poczty, jak i monitoring punktów końcowych. Szczególną uwagę należy poświęcić kampaniom tematycznym związanym z podatkami, karami administracyjnymi oraz dokumentami PDF zawierającymi odnośniki do pobierania plików.

  • Blokować lub ściśle monitorować pobieranie archiwów ZIP i plików wykonywalnych z nieznanych domen.
  • Wykrywać nietypowe próby DLL side-loading, zwłaszcza w katalogach imitujących legalne komponenty systemowe.
  • Monitorować tworzenie nowych usług Windows oraz procesów uruchamianych z podwyższonymi uprawnieniami po wyświetleniu monitu UAC.
  • Analizować połączenia do nieznanych hostów i korelować pobrania plików graficznych z późniejszym uruchomieniem kodu.
  • Wykorzystywać EDR do wykrywania wyłączeń AMSI, nietypowych loaderów .NET i ładowania kodu w pamięci.
  • Ograniczać uprawnienia lokalnych administratorów zgodnie z zasadą najmniejszych uprawnień.
  • Szkolić użytkowników w zakresie rozpoznawania fałszywych narzędzi urzędowych oraz presji czasowej stosowanej w phishingu.

Warto również przygotować dedykowane reguły huntingowe. Sygnałami ostrzegawczymi mogą być pojawienie się plików o nazwach sugerujących legalne biblioteki, utworzenie usługi MixedSvc, zapis nietypowych plików JPG w katalogach systemowych oraz procesy kopiujące się pod nazwami naśladującymi komponenty Windows lub aplikacje multimedialne.

Podsumowanie

Opisana kampania pokazuje, że cyberprzestępcy nadal skutecznie łączą dopracowaną socjotechnikę z technikami utrudniającymi analizę i detekcję. Wykorzystanie sezonu rozliczeń podatkowych, fałszywego narzędzia offline, DLL side-loadingu, ukrywania ładunku w obrazie oraz trwałości opartej o usługę systemową tworzy dojrzały i skuteczny łańcuch infekcji.

Dla organizacji oznacza to konieczność wzmacniania kontroli wokół poczty elektronicznej, punktów końcowych i monitoringu zachowań procesów. Szczególnie istotna jest ochrona zespołów finansowych i administracyjnych, które regularnie przetwarzają dokumenty o wysokiej wartości operacyjnej i są naturalnym celem podobnych kampanii.

Źródła

  1. https://thehackernews.com/2026/07/suspected-china-nexus-hackers-use-fake.html
  2. https://www.seqrite.com/blog/
  3. https://attack.mitre.org/software/S1166/
  4. https://www.incometax.gov.in/iec/foportal/downloads/income-tax-returns
  5. https://thehackernews.com/