Uma campanha de phishing sofisticada está utilizando e-mails falsos de notificação fiscal para enganar usuários do Windows e implantar malware multietapa que roda inteiramente na memória, deixando quase nenhum rastro no disco. A campanha, rastreada como Operation TaxShadow, está ativa desde pelo menos 20 de maio de 2026, visando indivíduos ao se passar por autoridades fiscais oficiais indianas.
Contexto da Campanha Operation TaxShadow
Os e-mails são elaborados para criar pânico, alertando os destinatários sobre penalidades financeiras e exigindo ação antes de um prazo. O ataque começa com um e-mail convincentemente projetado carregando os logotipos e a linguagem de um órgão legítimo de fiscalização tributária indiano. As vítimas que clicam no link são direcionadas para um site governamental falso quase idêntico ao real, com texto bilíngue em inglês e hindi.
A partir daí, os usuários são convidados a baixar um arquivo ZIP descrito como um documento fiscal oficial, que na verdade é um pacote de malware totalmente armado pronto para comprometer o sistema. Pesquisadores da Cyfirma identificaram a campanha e descobriram que ela se estende além de uma única região. A mesma infraestrutura por trás das páginas de phishing fiscal indiano também estava hospedando portais fiscais governamentais japoneses falsos.
O que torna esta campanha especialmente perigosa não é apenas a engenharia social, mas o que acontece após o malware aterrissar. O payload roda quase inteiramente na memória, não escrevendo nada no disco, o que derrota a maioria das ferramentas de antivírus padrão. O malware também mantém uma conexão persistente com servidores controlados pelos atacantes através de tráfego que se mistura com a atividade web normal.
Análise Técnica Detalhada da Infecção
O arquivo ZIP malicioso contém três arquivos trabalhando em sequência: um launcher, uma biblioteca de carregador chamada SbieDll.dll e um payload criptografado chamado SbieDll.bin. O launcher prepara o ambiente, verifica a versão do Windows e instala hooks em funções do sistema core antes de passar o controle para o carregador. Cada arquivo tem um papel dedicado, separando a funcionalidade e limitando a exposição do payload final.
O carregador, SbieDll.dll, explora um método chamado DLL Search Order Hijacking. O Windows verifica a própria pasta de um aplicativo antes das pastas do sistema ao carregar bibliotecas, então colocar a DLL maliciosa no local certo força o Windows a carregá-la em vez da real. O carregador então manipula tokens de acesso e remove barreiras de permissão para preparar o ambiente para a etapa final.
O componente final, SbieDll.bin, carrega o payload principal criptografado com um cipher RC4 modificado. Uma vez descriptografado em tempo de execução, ele carrega diretamente na memória através de Reflective PE Loading, o que significa que nenhum arquivo toca o disco. É por isso que produtos de segurança convencionais lutam para detectar esta ameaça.
Comunicação C2 e Evasão de Defesa
Uma vez ativo, o malware se conecta ao seu servidor de comando e controle (C2) através de conexões WebSocket, um método normalmente usado por aplicativos web legítimos. A sessão começa como uma solicitação HTTP padrão e faz upgrade para um canal persistente, fazendo com que o tráfego pareça completamente normal para monitores de rede. O malware também suporta HTTP CONNECT, roteando comunicações através de proxies corporativos para contornar controles de rede empresariais.
Para resistir à análise, o malware usa um mecanismo baseado em Mersenne Twister que altera o comportamento de execução em infecções, tornando a detecção por assinatura não confiável. Ele aplica Control Flow Flattening para embaralhar a estrutura do código e resolve chamadas de API do Windows em tempo de execução através de hashing, escondendo sua intenção da análise estática.
Medidas de Mitigação Recomendadas
A Cyfirma recomenda treinamento contínuo de conscientização de segurança sobre phishing e táticas de falsificação governamental. Equipes técnicas devem implantar regras YARA e Sigma para hijacking de DLL, carregamento reflexivo e padrões de C2 WebSocket, enquanto habilitam monitoramento de memória contínuo para capturar ameaças que contornam defesas tradicionais.
Os e-mails de phishing passaram por verificações de autenticação, incluindo SPF, DKIM e DMARC, porque foram enviados através de um serviço legítimo de entrega de e-mails de terceiros. Isso permitiu que eles contornassem filtros de spam e alcançassem caixas de entrada sem levantar sinais vermelhos óbvios. A detecção deve focar em comportamento de rede e análise de memória, não apenas em assinaturas de arquivo.
Indicadores de Comprometimento (IoCs)
| Tipo | Indicador | Descrição |
|---|---|---|
| Domínio | guhxmg.com | Infraestrutura de phishing — Bloquear |
| Domínio | naiqja.icu | Infraestrutura de phishing — Bloquear |
| Domínio | zh-welcome-1xbet.com | Infraestrutura de phishing — Bloquear |
| Subdomínio | d.pc-weide.com | Infraestrutura de phishing — Bloquear |
| Subdomínio | taxations.cn-web-okooo.com | Infraestrutura de phishing — Bloquear |
| Subdomínio | taxations.indiagov.it.com | Falsificação governamental — Bloquear |
| Endereço IP | 43[.]128[.]54[.]184 | Endereço do servidor C2, porta 1234 — Bloquear |
| SHA-256 | 185b7a487316454da04e9cc0fe6eb370bb2955cf6096fe3e8c02c46f8989ba37 | Hash de amostra de malware — Bloquear |
| MD5 | 3a8f6454927b8993aded75de0de2bd00 | कर ववरण.exe (Launcher inicial) — Bloquear |
O que os CISOs devem fazer imediatamente
Para executivos de segurança, a prioridade é a visibilidade de tráfego de rede incomum e monitoramento de memória. A implementação de soluções EDR com capacidades de análise de memória em tempo real é essencial para detectar payloads sem disco. Além disso, a revisão de políticas de e-mail para identificar e-mails que passam por autenticação mas contêm anexos suspeitos é crítica. A conscientização dos usuários sobre a verificação de URLs e a desconfiança de e-mails de autoridades governamentais deve ser reforçada imediatamente.
Perguntas Frequentes
Como sei se meu sistema foi infectado? Verifique o uso de memória por processos desconhecidos e tráfego de rede incomum para domínios suspeitos. Use ferramentas de segurança que monitorem carregamento reflexivo.
O malware deixa rastros no disco? Não, o payload roda inteiramente na memória, o que torna a detecção tradicional baseada em arquivo ineficaz.
Como prevenir ataques futuros? Mantenha seus sistemas atualizados, utilize soluções de segurança que monitorem comportamento de rede e memória, e treine usuários para identificar phishing sofisticado.