Introdução
Uma nova campanha de ameaças está mirando usuários Windows na Índia, disfarçando arquivos maliciosos como documentos oficiais de imposto de renda. Pesquisadores rastrearam a operação sob o nome TAX#TRIDENT, que demonstrou capacidade de pivotar entre múltiplos métodos de entrega enquanto mantém o isco fiscal convincente intacto. O ataque não depende de nenhuma vulnerabilidade técnica, exigindo apenas que a vítima acredite que o arquivo é real.
A campanha utiliza páginas falsas de avaliação de imposto de renda indiano construídas para empurrar os usuários a baixar o que parece ser um aviso oficial. Uma vez que alguém acessa a página, vê um botão de download para o que parece ser um documento governamental importante. Por trás desse botão está um arquivo malicioso capaz de comprometer totalmente um sistema Windows.
Notas fiscais criam urgência e podem atingir plausivelmente pessoas em finanças, jurídico, RH ou cargos executivos. A campanha continua se expandindo enquanto mantém rotas de entrega anteriores ativas. O que muda em cada onda é a rota de entrega, o isco e o payload final. Essa adaptabilidade é o que torna o TAX#TRIDENT uma ameaça persistente.
Cadeias de Infecção e Vetores de Ataque
A Securonix Threat Research relatou que o TAX#TRIDENT executa três cadeias de infecção separadas. Todas começam com o mesmo tema fiscal falso, mas divergem depois disso, dando ao atacante flexibilidade para mudar rotas se uma for bloqueada.
O que torna essa campanha difícil de parar é que ela abusa de software legítimo e assinado, em vez de arquivos maliciosos óbvios. Duas das três ramificações terminam com um cliente de gerenciamento remoto assinado chamado ClientSetup, dando aos atacantes acesso persistente à máquina infectada.
A terceira ramificação inscreve silenciosamente o dispositivo da vítima em um agente real do ManageEngine UEMS apontado para um servidor controlado pelo atacante. Ferramentas que dependem apenas de assinaturas de arquivo podem perder todos os três caminhos.
Análise Técnica das Cadeias
A primeira cadeia de infecção começa em zyisykm.shop, um site falso de imposto de renda indiano. Clicar no botão de download puxa um arquivo ZIP chamado Assessment Letter.zip contendo um executável Windows assinado que instala um cliente de gerenciamento remoto completo. O atacante incorpora o endereço do servidor diretamente no nome do arquivo, de modo que o instalador lê seu próprio nome e grava esse valor na configuração local.
Após a execução, o instalador cria um diretório oculto sob uma pasta do sistema Windows e solta um svchost.exe falso junto com arquivos de driver chamados YtMiniFilter e ytdisk. Uma segunda cadeia usa um arquivo VBScript chamado Assessment_Order.vbs, servido em vários domínios fiscais falsos, que relança silenciosamente, mostra uma imagem fiscal isca e instala o payload ClientSetup no segundo plano.
A terceira cadeia abandona o ClientSetup. Uma URL com aparência de PHP em xhxz.info/download.php retorna VBScript em vez de uma página web, preparando arquivos subsequentes de buckets Amazon S3. Um arquivo chamado uacMC.png não é uma imagem, mas um script que reduz silenciosamente as configurações UAC, removendo prompts de elevação antes que o payload final seja executado.
Indicadores de Comprometimento (IoCs)
Os indicadores incluem URLs como zyisykm.shop, endereços IP como 149.104.24.197 e nomes de arquivos como Assessment Letter.zip. O hash SHA256 compartilhado pelas cadeias 1 e 2 é 950AD7A33457A1A37A0797316CDD2FBAF9850F7165425274351D08B3C01ED2D8. O servidor C2 da cadeia 1 é 45.119.55.66, contatado nas portas 6671, 6681 e 6683. A cadeia 3 aponta para o servidor UEMS em 202.61.160.201 na porta 8383.
Outros indicadores incluem diretórios ocultos como C:\Windows\SysWOW64\msres\, serviços como MANC e drivers como YtMiniFilter e ytdisk. A configuração do agente UEMS é apontada por DCAgentServerInfo.json.
Impacto e Alcance
A campanha explora a urgência e a confiança em documentos governamentais para enganar usuários. O uso de ferramentas assinadas legítimas torna a detecção baseada em assinatura ineficaz. O comprometimento de sistemas Windows pode levar ao roubo de dados, acesso remoto e instalação de malware adicional.
O impacto é ampliado pela capacidade de pivotar entre diferentes métodos de entrega. Se uma rota for bloqueada, os atacantes podem mudar para outra sem interromper a campanha. Isso exige que as defesas sejam comportamentais, não apenas baseadas em hashes ou listas de bloqueio.
Medidas de Mitigação Recomendadas
1. Evitar downloads de links fiscais ou de penalidade não solicitados, não importa quão oficiais pareçam.
2. Monitorar motores de script executando arquivos com extensões de estilo web.
3. Alertar sobre svchost.exe executando de diretórios incomuns.
4. Sinalizar alterações de política UAC onde ConsentPromptBehaviorAdmin é definido como zero.
5. Focar a detecção em sinais comportamentais, já que a campanha rotaciona infraestrutura.
6. Bloquear tráfego de saída nas portas 6671, 6681 e 6683.
7. Verificar a integridade de arquivos de sistema e drivers instalados.