Tin tức bảo mật ghi nhận một chiến dịch phishing đang nhắm vào người nộp thuế và doanh nghiệp bằng cách giả mạo trang của Income Tax Department of India. Trang giả mạo hiển thị thông báo có vẻ chính thức, sử dụng ngôn ngữ khẩn cấp để lừa người dùng tải về tệp độc hại thay vì tài liệu hợp lệ.
Trang giả mạo và cơ chế lừa đảo
Kẻ tấn công dựng các website gần như giống hệt cổng thông tin chính thức của cơ quan thuế. Trên trang, nạn nhân thấy nhãn “Official Tax Notice – Income Tax Department, India” cùng các chi tiết như số tham chiếu, thời hạn tuân thủ và nội dung mang tính ép buộc.
Khi người dùng bấm vào nút “DOWNLOAD ASSESSMENT ORDER & WORKINGS”, hệ thống không tải về tài liệu hợp pháp mà nhận một malicious archive vào máy. Một miền được ghi nhận trong chiến dịch là zyisykm[.]shop.
"Official Tax Notice – Income Tax Department, India": https://zyisykm[.]shop/Cách thức phát tán malware trong chiến dịch phishing
Chiến dịch phishing này thường bắt đầu từ email lừa đảo hoặc khi nạn nhân truy cập website giả mạo có thương hiệu cơ quan nhà nước. Nội dung được thiết kế để tạo áp lực tâm lý, khiến nạn nhân tin rằng đây là thông báo thật và tải tệp xuống mà không kiểm tra.
Tệp tải về thường là ZIP archive. Khi giải nén, bên trong chứa một file thực thi. Trong nhiều trường hợp, đây là NSIS-based silent dropper, một dạng installer âm thầm giải nén và triển khai nhiều thành phần độc hại trong nền.
Chuỗi lây nhiễm này có thể dẫn đến việc cài đặt Remote Access Trojans (RATs) và infostealers, cho phép thu thập dữ liệu nhạy cảm, ghi lại phím bấm và kết nối đến máy chủ command-and-control để nhận lệnh tiếp theo.
Trong file tải về, kẻ tấn công còn chèn hướng dẫn giả mạo yêu cầu người dùng tắt phần mềm diệt virus trước khi chạy tệp, với lý do cần thiết để sử dụng “Income Tax Department client”. Đây là bước nhằm loại bỏ lớp phòng vệ cuối cùng trước khi mã độc thực thi.
Đây là một kỹ thuật social engineering điển hình trong các chiến dịch phishing, đặc biệt hiệu quả khi người dùng đang chịu áp lực về thời hạn tuân thủ và có xu hướng phản ứng nhanh với thông báo giả mạo.
Phát hiện và xác minh mẫu độc hại
Nhà nghiên cứu MalwareHunterTeam đã gắn cờ miền độc hại zyisykm[.]shop vào ngày 27/04/2026. Sau đó, mẫu được tải lên kho MalwareBazaar tại bazaar.abuse.ch, xác nhận nút tải xuống đang phân phối nội dung độc hại cho người truy cập.
Tham chiếu kỹ thuật có thể xem thêm tại: MalwareBazaar threat repository.
Tác động đối với hệ thống và dữ liệu
Tin tức an ninh mạng này cho thấy mức độ rủi ro bảo mật cao với cá nhân và doanh nghiệp, đặc biệt trong lĩnh vực tài chính và doanh nghiệp đang xử lý nghĩa vụ thuế. Khi ransomware hoặc infostealer không phải là mục tiêu duy nhất, hệ thống bị xâm nhập có thể bị đánh cắp thông tin đăng nhập, dữ liệu tài chính, và thông tin nội bộ.
Các chiến dịch tương tự từng sử dụng email thuế giả để phát tán malware nguy hiểm như Blackmoon banking malware và XRed remote access trojans. Việc lặp lại mô hình này cho thấy thời điểm mùa khai thuế thường bị lợi dụng để tăng tỷ lệ nạn nhân mắc bẫy.
IOC của chiến dịch phishing
- Domain: zyisykm[.]shop
- Landing page label: Official Tax Notice – Income Tax Department, India
- Button text: DOWNLOAD ASSESSMENT ORDER & WORKINGS
- Delivery artifact: malicious ZIP archive
- Payload type: NSIS-based silent dropper
- Malware class: RATs, infostealers
Hành động giảm thiểu rủi ro bảo mật
Người dùng nhận thông báo thuế qua email hoặc gặp website lạ tự nhận là cơ quan thuế cần xác minh nguồn trước khi tải bất kỳ tệp nào. Chỉ nên truy cập cổng chính thức tại incometax.gov.in để kiểm tra thông tin.
Không vô hiệu hóa antivirus hoặc các công cụ bảo mật dựa trên hướng dẫn nằm trong file tải về. Đây là dấu hiệu điển hình của chiến dịch phishing và là bước mở đường cho mã độc chạy trên hệ thống.
Với tổ chức, cần huấn luyện nhân viên nhận diện phishing, chuyển tiếp email nghi ngờ cho nhóm IT và cách ly thiết bị nếu nghi bị xâm nhập. Khi cần đối chiếu thông tin về phishing campaign hoặc cảnh báo CVE liên quan đến hạ tầng, có thể tham khảo thêm nguồn chính thống như CISA và NVD.
Chuỗi tấn công và bề mặt rủi ro
Điểm đáng chú ý của chiến dịch phishing này là cách kết hợp giữa giao diện giả mạo, thông điệp khẩn cấp và tệp nén độc hại. Khi người dùng tin rằng đây là tin bảo mật mới nhất hoặc thông báo hành chính hợp lệ, họ có xu hướng bỏ qua các dấu hiệu bất thường.
Trong bối cảnh này, cập nhật bản vá, giám sát tải xuống bất thường và phát hiện tấn công sớm bằng IDS/EDR là các lớp kiểm soát cần thiết. Với hệ thống đã có dấu hiệu thực thi tệp lạ, nên cô lập máy khỏi mạng, thu thập mẫu và tiến hành kiểm tra IOC trên toàn bộ hạ tầng.
