Uma operação abrangente de phishing começou a visar empresas indianas em novembro de 2025, fazendo-se passar pelo Departamento de Imposto de Renda da Índia.
A campanha utilizou modelos de comunicação governamental notavelmente autênticos, mensagens bilingues em hindi e inglês e referências jurídicas a secções da Lei do Imposto sobre o Rendimento para criar um sentido de legitimidade e urgência.
Os e-mails alertavam os destinatários sobre supostas irregularidades fiscais e exigiam que apresentassem documentos no prazo de 72 horas, utilizando a pressão psicológica como arma primária para levar os utilizadores a abrir anexos maliciosos.
O ataque gerou uma sofisticada cadeia de malware em dois estágios que começou com arquivos ZIP protegidos por senha contendo carregadores de shellcode e posteriormente evoluiu para usar links do Google Docs para entrega de carga útil secundária.
A carga final foi um Trojan de acesso remoto projetado para conceder aos invasores controle total sobre os sistemas comprometidos, incluindo recursos para compartilhamento de tela, transferência de arquivos e execução remota de comandos.
A campanha visou especificamente empresas de valores mobiliários, empresas financeiras e sociedades financeiras não bancárias que trocam regularmente documentos regulamentares com agências governamentais.
Os analistas de segurança da Raven identificaram a campanha de phishing de dia zero ao reconhecer múltiplas camadas de inconsistência dentro da estrutura de ataque, evitando, em última análise, a infecção generalizada nas organizações visadas.
Mecanismo de infecção desta campanha
O mecanismo de infecção desta campanha revela uma abordagem cuidadosamente concebida para a evasão.
Os e-mails iniciais de phishing originaram-se de contas de e-mail gratuitas legítimas do QQ.com que passaram nas verificações de autenticação SPF, DKIM e DMARC, um fator crítico para contornar os filtros tradicionais de segurança de e-mail.
E-mail de phishing nº 1 (fonte – Raven)
Os anexos usavam proteção por senha para evitar que mecanismos antivírus verificassem seu conteúdo durante o trânsito.
E-mail de phishing nº 2 (fonte – Raven)
Quando os usuários extraíram os arquivos ZIP com as senhas fornecidas nos e-mails, eles encontraram arquivos executáveis chamados “NeededDocuments” que continham shellcode projetado para ser executado por meio do carregamento do proxy regsvr32.
Essa técnica, comumente conhecida como execução sem arquivo, permitiu que o malware carregasse uma DLL oculta diretamente na memória sem gravar assinaturas detectáveis no disco.
O shellcode estabeleceu mecanismos de persistência, coletou credenciais armazenadas do sistema da vítima e abriu canais de comunicação para servidores de comando remotos associados à infraestrutura AsyncRAT.
Algumas variantes usaram o Google Docs como plataforma de hospedagem confiável para o segundo estágio, explorando a confiança inerente depositada em serviços de nuvem legítimos por filtros de segurança corporativa.
A combinação de autenticação de remetente limpa, cargas protegidas por senha, infraestrutura de nuvem legítima e execução de proxy regsvr32 criou uma cadeia de ataque quase invisível que tornou ineficazes os métodos de detecção baseados em assinatura.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
