Criminosos cibernéticos estão utilizando falsos avisos de imposto de renda para implantar malware perigoso em computadores Windows, e a tática está se mostrando alarmantemente eficaz. Uma campanha recém-descoberta visa usuários na Índia, se passando pelo Departamento de Imposto de Renda, enganando as vítimas para que baixem o que parece ser uma ordem de avaliação oficial.
Engenharia social e vetor de ataque
O ataque funciona direcionando as vítimas para um site fraudulento que imita de perto as comunicações oficiais de impostos do governo. O site apresenta uma ordem de avaliação fabricada preenchida com terminologia fiscal, referências legais e penalidades financeiras projetadas para criar urgência. No centro, há um botão rotulado "Baixar Ordem de Avaliação e Trabalhos", que inicia o download de um arquivo ZIP malicioso disfarçado de documentação oficial.
Pesquisadores da Cyfirma identificaram esta campanha e notaram que o ator da ameaça foi a grandes alturas para fazer tudo parecer confiável. A campanha aproveita a engenharia social convincente combinada com uma cadeia de entrega de malware em múltiplas etapas para maximizar o sucesso. Uma vez baixado, o arquivo ZIP descompacta um arquivo de imagem de disco chamado Tax_Assessment.img, que contém dois componentes maliciosos principais trabalhando juntos em uma cadeia de execução em etapas.
Análise técnica do malware e comportamento
Isso instala finalmente um Trojan de Acesso Remoto (RAT) no sistema Windows da vítima. O objetivo final é entregar ao atacante o controle remoto persistente sobre o dispositivo, permitindo vigilância, roubo de dados e entrega de payload adicional. O malware se disfarça como "Runtime Service Host" da Microsoft Corporation, uma identidade falsa projetada para evitar levantar alertas com ferramentas ou usuários.
O carregador oculta sua janela de console, modifica configurações de registro e usa metadados falsificados para se misturar aos componentes legítimos do Windows. O payload DLL carrega capacidades completas de RAT, incluindo registro de inicialização, criação de tarefas agendadas, coleta de informações do sistema, monitoramento de atividade do usuário e comunicação criptografada de volta ao atacante. Seu comportamento corresponde de perto à família RAT XWorm, uma ferramenta comercial popular entre atores motivados financeiramente.
Comunicação C2 e infraestrutura do atacante
O malware se comunica com um servidor de comando e controle (C2) hardcoded em 103.231.12.27 na porta 4444, geolocalizado em Hong Kong. Todo o tráfego é criptografado usando uma chave de 32 bytes embutida na DLL maliciosa, tornando a interceptação extremamente difícil sem conhecimento prévio da chave. O domínio fraudulento harivo[.]vip, que hospedava o portal de impostos falso, foi registrado em setembro de 2025 e está ligado à mesma infraestrutura baseada em Hong Kong.
Indicadores de Comprometimento (IoCs)
Os seguintes indicadores devem ser monitorados e bloqueados:
- SHA-256: 372d7d8ca222e03afa5970848cf88efa6a3bc5146d20398601285fc7eaea6735
- SHA-256: f5dc1016679f54f2be22da0ff6642046f7a943410c188514b96c28d8a3b95e12
- SHA-256: 4b5405d9acd00dd9225ffcec840a1752951be801d20ee1cab4ebde9ccd96916a
- SHA-256: 3fe29bf7e2c391d5405f8c6947cc42a6ec356fcf8455ce705dc23a156f5b450a
- MD5: 3adcf5fca3f4fe23a9b73951e20d43bc (Tax_Assessment_0609.zip)
- MD5: ba036fbf209b2dbdfec3fd3dee9b1798 (Tax_Assessment.img)
- MD5: c0796f2ee614e1711d5355ee42dcbf62 (libsvcs.dll)
- MD5: ac08e8f463e0fa4a431b74fd5d7f01a1 (Tax_Assessment.exe)
- Domínio: harivo[.]vip
- IP: 103[.]231[.]12[.]27
Recomendações de segurança
As equipes de segurança devem monitorar o tráfego de saída para IPs externos desconhecidos e bloquear a execução de arquivos entregues através de arquivos compactados baixados ou imagens de disco montadas. As organizações devem treinar os funcionários para verificar comunicações relacionadas a impostos através de portais governamentais oficiais antes de baixar qualquer coisa. Se a atividade RAT for confirmada, as equipes de resposta a incidentes devem isolar o sistema afetado imediatamente e coletar artefatos forenses para investigação completa.