Hack Alerta

Campanha de phishing que imita Receita da Índia entrega AsyncRAT a empresas financeiras

Por Redação Hack Alerta Publicado em 04/12/2025 12:05 Riscos e Ameaças Tempo de leitura: 3 min

Operação de phishing que imita a Receita da Índia usa e‑mails bilíngues e anexos ZIP protegidos por senha para entregar loaders que exploram regsvr32 e culminam em AsyncRAT; alvos são empresas do setor financeiro, segundo Raven.

Analistas da Raven identificaram uma operação de phishing direcionada a empresas indianas que, desde novembro de 2025, utiliza mensagens que imitam a Income Tax Department of India para disseminar um cadeia de execução que culmina na entrega do Remote Access Trojan AsyncRAT.

Como a campanha opera

Os e-mails usados na campanha reproduzem modelos oficiais do governo, são bilíngues (hindi e inglês) e citam trechos da legislação tributária para criar senso de urgência. Mensagens exigem envio de documentos em até 72 horas, impulsionando destinatários a abrir anexos ou seguir links fornecidos.

Detalhes técnicos observados

Os primeiros estágios usam arquivos ZIP protegidos por senha contendo loaders com shellcode; alguns variantes evoluíram para usar links do Google Docs como hospedeiros de segunda etapa. Notavelmente, mensagens partiram de contas QQ.com que passaram por verificações SPF, DKIM e DMARC, o que ajudou a contornar filtros de e‑mail tradicionais.

Ao extrair os ZIPs com senhas enviadas no corpo da mensagem, vítimas encontraram executáveis nomeados “NeededDocuments” que exploram regsvr32 proxy loading (execução sem arquivo persistente). O shellcode estabeleceu persistência, coletou credenciais armazenadas e abriu canais de comando associados à infraestrutura AsyncRAT.

Alvos

A campanha foca empresas do setor financeiro: corretoras, companhias financeiras e non‑banking financial corporations que mantêm trocas frequentes de documentos regulatórios com órgãos do governo — perfis que tornam essas organizações alvos lógicos para iscas que imitam comunicações oficiais.

Mitigações e limitações

Raven identificou a operação por inconsistências na estrutura da campanha; a ação preventiva dos analistas evitou infecções em larga escala nos alvos investigados. A cobertura destaca o emprego combinado de autenticação de remetente válida, anexos com proteção por senha e uso de plataformas legítimas (Google Docs) como fatores que tornam a detecção tradicional menos eficaz.

As fontes consultadas não fornecem uma lista pública completa de indicadores de comprometimento (IoCs) no texto resumido, portanto equipes de resposta a incidentes devem buscar os relatórios técnicos originais da Raven para ações de contenção e detecção.

Recomendações operacionais

  • Reforçar triagem de e-mails que alegam origem governamental, mesmo quando SPF/DKIM/DMARC estiverem válidos;
  • Bloquear execução de binários recebidos por e‑mail e monitorar uso de regsvr32 e execuções proxy;
  • Treinar equipes financeiras para sinais de phishing que explorem prazos regulatórios e pedidos de documento urgentes.
Baseado em publicação original de Cyber Security News
Tags: #asyncrat #phishing #india #regsvr32 #raven #qq.com #google-docs #financial #zip
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar