Cảnh báo: Tin tặc nghi có liên hệ với Trung Quốc giả mạo công cụ khai thuế để phát tán DcRAT
Một nhóm tin tặc được cho là có liên hệ với Trung Quốc đang thực hiện chiến dịch tấn công tinh vi nhắm vào người dùng tại Ấn Độ bằng cách giả mạo phần mềm khai thuế để phát tán mã độc...
Các chuyên gia an ninh mạng tại Seqrite Labs vừa phát hiện một chiến dịch tấn công có chủ đích (APT) với tên gọi Operation DragonReturn, nhắm trực tiếp vào đối tượng là người nộp thuế, các chuyên gia tài chính và doanh nghiệp tại Ấn Độ. Chiến dịch này bắt đầu từ tháng 5/2026, trùng với thời điểm mùa quyết toán thuế hàng năm tại quốc gia này.
Phương thức tấn công tinh vi
Nhóm tin tặc sử dụng các email phishing được thiết kế rất chuyên nghiệp, giả danh cơ quan Thuế vụ Ấn Độ. Để tạo sự cấp bách, các email này thường cảnh báo về các vi phạm thuế hoặc các khoản phạt giả mạo, dẫn dụ nạn nhân nhấp vào đường link độc hại.
Khi truy cập vào trang web giả mạo, người dùng được yêu cầu tải xuống một tệp ZIP chứa công cụ hỗ trợ khai thuế ngoại tuyến. Tuy nhiên, đây thực chất là một kỹ thuật DLL sideloading. Khi tệp tin được thực thi, nó sẽ nạp một tệp DLL độc hại (nvdaHelperRemote.dll) vào bộ nhớ, từ đó kích hoạt chuỗi lây nhiễm mã độc.
Cơ chế hoạt động của mã độc
Sau khi xâm nhập, mã độc thực hiện các bước sau:
- Vượt qua kiểm soát: Tự động yêu cầu quyền quản trị (UAC) và thực hiện các bước kiểm tra để tránh bị phát hiện bởi các môi trường phân tích hoặc sandbox.
- Ẩn mình: Tải xuống một tệp hình ảnh (JPG) từ máy chủ điều khiển (C2), sau đó trích xuất mã độc từ tệp này để lưu trữ dưới dạng tệp tin hệ thống.
- Duy trì quyền truy cập: Thiết lập một dịch vụ Windows có tên “MixedSvc” để đảm bảo mã độc luôn khởi chạy cùng hệ thống.
Mã độc chính được triển khai là DcRAT, một loại remote access trojan cho phép tin tặc kiểm soát máy tính từ xa, chụp ảnh màn hình và đánh cắp dữ liệu nhạy cảm. Ngoài ra, mã độc còn có khả năng vô hiệu hóa tính năng quét của Windows AMSI để tránh bị phát hiện.
Dấu vết của nhóm tấn công
Dựa trên hạ tầng mạng và các kỹ thuật được sử dụng, các nhà nghiên cứu nghi ngờ đây là hoạt động của một nhóm tin tặc có liên hệ với Trung Quốc. Có nhiều điểm tương đồng về mặt kỹ thuật với nhóm Silver Fox – một nhóm tội phạm mạng từng được biết đến với các chiến dịch phát tán mã độc ValleyRAT thông qua các chủ đề về thuế.
Các chuyên gia khuyến cáo người dùng cần hết sức cảnh giác với các email yêu cầu tải xuống phần mềm từ các nguồn không chính thống, đặc biệt là trong các mùa cao điểm về hành chính và thuế. Việc kiểm tra kỹ tên miền (domain) và chỉ tải phần mềm từ trang web chính thức của cơ quan nhà nước là biện pháp phòng ngừa quan trọng nhất lúc này.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.