تستغل حملات التصيد الاحتيالي الإلكتروني الموسم الحالي لتقديم إقرارات ضريبة الدخل في الهند لشن هجمات متطورة تستهدف الشركات. يستغل المهاجمون القلق العام بشأن الالتزام الضريبي وجداول استرداد الأموال لإنشاء رسائل تصيد احتيالي مقنعة تحاكي الاتصالات الرسمية الحكومية.
تتضمن أحدث موجات هذه الهجمات سلسلة إصابة مصممة بعناية تبدأ ببريد إلكتروني تصيد احتيالي دقيق وتتوج بنشر برامج ضارة مستمرة قادرة على اختراق النظام بالكامل. يصل المتجه الأولي للهجوم كبريد إلكتروني بعنوان “إشعار مراجعة الامتثال الضريبي”، يُزعم أنه صادر عن إدارة ضريبة الدخل.
حملات ضريبية احتيالية تستهدف الشركات الهندية
تشير تفاصيل الحملة التي يرصدها خبراء الأمن السيبراني إلى وجود نمط متزايد من استغلال المواضيع الحساسة مثل الضرائب لتضليل المستخدمين. تبدو هذه الرسائل البريدية مفصلة للغاية، مما يجعل من الصعب على المستخدم العادي تمييزها عن الاتصالات الرسمية.
ومع ذلك، فإن التدقيق الدقيق يكشف أن المرسل يستخدم عنوان Outlook[.]com مشبوه بدلاً من نطاق حكومي رسمي. والجدير بالذكر أن نص البريد الإلكتروني لا يحتوي على أي نص فعلي، بل يعتمد على صورة مضمنة واحدة لا يمكن تمييزها عن إشعار حقيقي، مما يتجاوز تقنيات تصفية البريد العشوائي النصية القياسية.
يسهم ذلك في خلق شعور زائف بالإلحاح من خلال الإشارة إلى مواعيد نهائية وهمية وفشل في الامتثال. يتم توجيه المستلمين لفتح مرفق اسمه “ملحق المراجعة.pdf”، والذي يحاكي مستندًا ضريبيًا شرعيًا.
يحتوي هذا الملف على رابط خبيث يوجه المستخدمين إلى بوابة امتثال احتيالية. حدد محللو Seqrite أن هذه البوابة تبدأ فوراً في تنزيل أرشيف ZIP بينما تطلب من المستخدمين تعطيل برامج مكافحة الفيروسات الخاصة بهم تحت ذريعة “مشاكل التوافق”.
آلية الإصابة والإصرار
تتضح البراعة التقنية لهذه الحملة بمجرد تفاعل الضحية مع الحمولة التي تم تنزيلها. تستخدم عملية الإصابة برنامج تثبيت NSIS من مرحلتين يقوم بإلغاء ضغط ملفات متعددة لترسيخ وجوده على جهاز الضحية.
لا تقتصر البرامج الضارة على سرقة البيانات فحسب، بل تقوم بتثبيت خدمة مستمرة باسم NSecRTS.exe لضمان تشغيلها تلقائيًا في الخلفية. تتواصل هذه الخدمة مع خوادم القيادة والتحكم (C2) عبر منافذ غير قياسية، مثل 48991 و 48992، كما هو موضح في رسم سلاسل الإصابة للهجوم.
لاحظ الباحثون أن المؤشرات التقنية، بما في ذلك استخدام اللغة الصينية المبسطة وشهادات التوقيع على الرمز المحددة، تشير إلى أن الأدوات المستخدمة نشأت من بيئة تطوير مرتبطة بالصين. تؤكد هذه التحولات من بريد إلكتروني تصيد احتيالي بسيط إلى حصان طروادة وصول عن بعد (RAT) عامل بالكامل على الحاجة الحرجة إلى اليقظة ضد هذه التهديدات متعددة المراحل.