TokyoBlackHatNews

gbhackers.com 5分で読了

偽の所得税通知がマルウェア拡散に使用される

サイバー犯罪者がインドの税務シーズンを悪用し、所得税部門になりすまして、知らないうちに危険なマルウェアを納税者に配信する高度なフィッシングキャンペーンを展開しています。

この悪意ある活動は、偽の評価通知と税務コンプライアンス警告を使用して、被害者にマルウェアが含まれたファイルをダウンロードさせ、攻撃者に侵害されたシステムへの永続的なアクセスを許可します。

2025年10月から活動しているこのフィッシングキャンペーンは、インドに事業所または子会社を持つ英国および米国に本社を置く多国籍企業を特に狙っています。

Mimecastの脅威研究チームが、データを盗み、システムの長期的な侵害を可能にするように設計された危険なペイロードを配信するこの高度なターゲット化された活動を発見しました

攻撃者は、所得税法第271(1)(c)条に基づく深刻な税務違反を主張する詐欺的なメールを送信し、所得の隠蔽または不正確な申告を主張しています。

マルウェア配信メカニズム

攻撃はフィッシングメールで始まり、組み込みリンク経由で受信者が72時間以内に疑わしい「違反」を確認するよう要求することで、強い圧力を生み出します。

被害者が悪意のあるリンクをクリックすると、ヒンディー語と英語の両方で提示される説得力のある偽の政府ウェブページにリダイレクトされ、「ドキュメントのダウンロード」ボタンが表示されます。

zyisykm[.]shopなどのドメイン上でホストされている詐欺的なポータルは、公式に見えるロゴと正式な言語を備えた正当な所得税部門の通信を模倣しています。

ダウンロードボタンをクリックすると、税務通知に偽装されたVisual Basicスクリプトがトリガーされ、被害者のマシンに永続性を確立し、隠しフォルダを作成し、第2段階のペイロードをダウンロードします。

多段階の感染プロセスはNSISドロッパーとパスワード保護されたZIPファイルを使用して、リモートアクセストロージャン(RAT)をデプロイする悪意のある実行ファイルが含まれています。

このキャンペーンは、少なくとも2019年以来流通している高度なバックドアマルウェアであるXRedトロージャンを頻繁に配信します。

XRedは攻撃者にメール、銀行、暗号通貨アカウントの認証情報を盗むキーロギングを含む広範な機能を提供します。

マルウェアはユーザー名、MACアドレス、コンピュータ名などの機密システム情報を収集し、このデータを攻撃者が制御するサーバーに送信します。

XRedは、攻撃者がスクリーンショットをキャプチャし、コマンドラインにアクセスし、感染したシステムからファイルをリスト、ダウンロード、または削除できるようにする様々なコマンドを通じてリモートコントロールを可能にします。

このトロージャンは、自動起動を保証するためにWindowsレジストリを作成し、複数のインスタンスを防ぐために「Synaptics2X」という名前のmutexを利用して、高度な永続性メカニズムを採用しています。

さらに、XRedはautorun infファイルを使用してUSBドライブ経由で拡散することにより、ワームのような動作を示しています。

悪意のあるインフラストラクチャ

このキャンペーンは、googlevip[.]shop、dadasf[.]qpon、googleaxc[.]shop、googlem[.]comなど、および前述のzyisykm[.]shopを含む複数の侵害されたドメインを通じて運営されています。

これらのドメインは、被害者を欺くために公式な政府ウェブサイトを密接に模倣する偽の所得税部門ポータルをホストしています。

攻撃者はトロージャン化された正当なソフトウェアとハードウェアドライバの両方を活用してマルウェアを配布し、検出を非常に困難にしています。

所得税部門と報道情報局は、これらの詐欺的な通信について繰り返し警告を発していています。

当局は、部門がメール、SMS、または電話で納税者にパスワード、OTP、または銀行口座情報を共有するよう求めることは決してないことを強調しています。詐欺的なメッセージには、しばしば軽微なスペルエラーと本物のように見えるように設計された偽のリンクが含まれています。

納税者は、すべての税務関連情報を公式な所得税部門のウェブサイトを通じてのみ確認し、予期しないメールの疑わしいリンクをクリックすることを避けるべきです。

正当な評価命令は、外部ドメインまたは直接ダウンロードリンクではなく、incometax.gov.inの認証されたe-filingポータルを通じてのみ利用できます。

このキャンペーンから保護するために、政府機関が公式通信にOutlook.comなどの公開ウェブメールサービスを使用することはないため、ユーザーは送信者のメールアドレスを詳しく調べるべきです。

要請されていない税務関連メールから添付ファイルをダウンロードしたり、リンクをクリックしたりしないでください。特に罰金の脅迫で急迫感を生み出しているものは避けてください。

VBScriptベースの脅威と疑わしいレジストリ変更を検出できる更新されたアンチウイルスソフトウェアで強力なエンドポイント保護を有効にしてください。

組織は、フィッシング試行をブロックするためにメールフィルタリングソリューションを実装し、税務関連のソーシャルエンジニアリング攻撃に焦点を当てた定期的なセキュリティ認識トレーニングを実施すべきです。

システム管理者は、異常な発信SMTPトラフィックと、C2通信を示す可能性のある非標準ポートへの接続を監視すべきです。

疑わしい税務通知を受け取った場合、組み込みリンクに従うのではなく、公式なe-filingポータルに直接ログインして真正性を確認してください。

翻訳元: https://gbhackers.com/fake-income-tax/

ソース: gbhackers.com
#XRedトロージャン #インド #ソーシャルエンジニアリング #バックドア #フィッシング #マルウェア #リモートアクセストロージャン #所得税詐欺 #税務攻撃 #認証情報盗取

関連記事

EUがDMA下でGoogleに競合他社との検索データ共有を強制する提案

偽のYouTubeダウンロードがVidarマルウェアを拡散し、企業ログイン情報を盗む

Microsoft が Windows 11 Copilot を無効化するエンタープライズポリシーオプションをリリース