- 偽の税務通知が、高度なリモートアクセスマルウェアの配布手段として悪用される事例が増加
- 攻撃者は政府機関を装った巧妙なブランディングと法的文書への言及により、悪意あるコードを隠蔽
- マルウェアは密かに国外サーバとの暗号化通信を確立
インド全土の一般ユーザーを標的に、所得税の査定通知を装った偽文書を使って危険なマルウェアを配布する、新たなフィッシングキャンペーンが確認されました。
CYFIRMAの研究者がこのキャンペーンを特定しました。攻撃では、インド所得税局の公式通知に酷似した偽サイトが使われています。
この偽ポータルは最近登録されたドメイン上にホストされており、法的根拠や金融ペナルティ、緊急対応を促す文言が記載された精巧な査定命令書を提示することで、受信者に焦りを感じさせて早急な行動を取らせるよう仕向けています。
感染の仕組み
偽の通知を操作した被害者は、公式の査定書類や計算資料を装ったZIPアーカイブのダウンロードを促されます。
解凍すると、実際の悪意あるペイロードを格納したコンテナとして機能するディスクイメージファイルが現れます。
その中には、正規のWindowsサービスに偽装したDLLファイルという第二のコンポーネントを密かに起動するローダープログラムが含まれています。
研究者によると、このローダーはリフレクション技術を使用しており、自動検出や解析を大幅に困難にするよう設計されています。
両ファイルとも既知の保護ツールで難読化されており、セキュリティチームによるコード解析をさらに複雑なものにしています。
ペイロードが実行されると、リモートアクセス型トロイの木馬(RAT)として動作し、感染端末への永続的な暗号化アクセスを攻撃者に与えます。
このマルウェアはシステム情報の収集、ユーザー行動の監視、インストール済みセキュリティソフトウェアの確認、そしてコマンドに応じた追加の悪意あるコンポーネントの密かな読み込みが可能です。
攻撃者のサーバとの通信は暗号化チャネルを通じて行われており、使用されているハードコードされたアドレスは香港に拠点を置くインフラにまで追跡されています。
こうした機能は、即時的な破壊や妨害を目的とした攻撃ではなく、金銭的動機に基づく攻撃であることを示しており、XWormなどの既知のコモディティRATファミリーとの類似点も多く見られます。
ただし、研究者は現時点では特定の脅威アクターへの帰属は未確認であると指摘しています。
このキャンペーンが重要な理由
今回の攻撃は単発的なフィッシング試みではなく、確定申告シーズン特有の不安心理を悪用してユーザーの警戒心を完全に無効化しようとする、より広範なパターンの一部です。
CYFIRMAの調査によると、今回使用されたローダーとペイロードの組み合わせによるアーキテクチャは、過去にランサムウェアの運営者とも関連が指摘されており、このインフラが被害者に応じて複数の攻撃タイプに転用される可能性があることを示唆しています。
このような段階的・多コンポーネント型のマルウェア配布に対する現実的な防御策として、振る舞い検知機能を備えた最新のウイルス対策ソフトウェアの導入が挙げられます。
セキュリティ研究者は、税務関連の通知を受け取った際は、埋め込みリンクをクリックせず、必ず政府の公式チャネルを通じて直接確認するよう推奨しています。
また組織に対しては、アーカイブやディスクイメージ経由で届く不明なファイルの実行を制限するよう勧告しています。今回のキャンペーンは、まさにこの配布手法に強く依存しているためです。
