Hackers usam páginas falsas de avaliação de imposto de renda para infectar sistemas Windows
A campanha TAX#TRIDENT ataca usuários do Windows na Índia,
disfarçando malware como documentos de imposto. Ela não usa
vulnerabilidades, mas sim a confiança dos usuários.
São três cadeias de
infecção que dificultam a detecção.
Não é só no Brasil que essas coisas acontecem!!
Uma nova campanha de ameaças está visando usuários do Windows na Índia, disfarçando arquivos maliciosos como documentos oficiais do imposto de renda.
Pesquisadores rastrearam a operação sob o nome TAX#TRIDENT e constataram sua capacidade de se adaptar a múltiplos métodos de distribuição, mantendo a mesma isca convincente relacionada ao imposto de renda.
O ataque não se baseia em nenhuma vulnerabilidade técnica. Basta que a vítima acredite que o arquivo é real.
A campanha utiliza páginas falsas de avaliação do Imposto de Renda indiano, criadas para induzir os usuários a baixar o que aparenta ser uma notificação oficial.
O ataque não se baseia em nenhuma vulnerabilidade técnica. Basta que a vítima acredite que o arquivo é real.
A campanha utiliza páginas falsas de avaliação do Imposto de Renda indiano, criadas para induzir os usuários a baixar o que aparenta ser uma notificação oficial.
Ao acessar a página, o usuário se depara com um botão de download que aparenta ser um documento governamental importante. Por trás desse botão, encontra-se um arquivo malicioso capaz de comprometer totalmente um sistema Windows.
Notificações fiscais criam uma sensação de urgência e podem facilmente atingir pessoas das áreas de finanças, jurídica, recursos humanos ou executiva.
Notificações fiscais criam uma sensação de urgência e podem facilmente atingir pessoas das áreas de finanças, jurídica, recursos humanos ou executiva.
Duas das três ramificações terminam com um cliente de gerenciamento remoto assinado chamado ClientSetup, dando aos invasores acesso persistente à máquina infectada.
.webp)
As equipes de segurança devem monitorar mecanismos de script que executam arquivos com extensões no estilo da web, gerar alertas sobre a execução do svchost.exe a partir de diretórios incomuns e sinalizar alterações na política do UAC onde o ConsentPromptBehaviorAdmin está definido como zero.
A detecção deve se concentrar em sinais comportamentais em vez de hashes, visto que essa campanha rotaciona a infraestrutura, mantendo suas táticas principais inalteradas.
Fonte: https://cybersecuritynews.com/hackers-use-fake-income-tax-assessment-pages/