Các nhóm tội phạm mạng đang lợi dụng các thông báo thuế giả mạo của chính phủ để phát tán mã độc nguy hiểm lên các máy tính Windows, phương thức này đang cho thấy hiệu quả đáng báo động. Chiến dịch mới được phát hiện nhắm vào người dùng tại Ấn Độ, giả mạo Vụ Thuế Vụ Thu Nhập (Income Tax Department) nhằm lừa nạn nhân tải xuống một tài liệu được cho là lệnh đánh giá chính thức.
Chiến dịch Tấn công Giả mạo Thông báo Thuế
Ngay khi người dùng mắc bẫy, một chuỗi các sự kiện độc hại sẽ âm thầm diễn ra, cho phép kẻ tấn công chiếm quyền điều khiển từ xa hoàn toàn máy tính bị lây nhiễm. Chiến dịch này khai thác sự lo lắng mà nhiều người cảm thấy đối với các vấn đề tuân thủ thuế trong mùa cao điểm. Bằng cách kết hợp hình thức nhận diện chính phủ chân thực với các kỹ thuật đánh lừa kỹ thuật tinh vi, kẻ tấn công đã tạo ra một cái bẫy có thể đánh lừa ngay cả những người dùng cẩn trọng nhất.
Mô hình Tấn công & Phân phối Mã độc
Cuộc tấn công hoạt động bằng cách hướng người dùng đến một trang web giả mạo, mô phỏng chặt chẽ các thông tin liên lạc thuế chính thức của chính phủ. Trang web này hiển thị một lệnh đánh giá không có thật, chứa đầy các thuật ngữ thuế, tham chiếu pháp lý và các khoản phạt tài chính được thiết kế để tạo cảm giác cấp bách. Nút bấm có nhãn “Tải xuống Lệnh Đánh giá & Các Khoản Giải trình” (Download Assessment Order & Workings) sẽ kích hoạt việc tải xuống một tệp ZIP độc hại, được ngụy trang như tài liệu chính thức.
Các nhà nghiên cứu tại Cyfirma đã xác định chiến dịch này và lưu ý rằng kẻ tấn công đã nỗ lực đáng kể để mọi thứ trông có vẻ đáng tin cậy. Một báo cáo từ Cyfirma chia sẻ với Cyber Security News (CSN) cho biết chiến dịch này tận dụng kỹ thuật kỹ nghệ xã hội (social engineering) thuyết phục kết hợp với chuỗi phân phối mã độc đa giai đoạn để tối đa hóa khả năng thành công. Đây là một ví dụ điển hình về tin tức bảo mật cần được quan tâm.
Cấu trúc Tệp Tin và Kỹ thuật Ẩn giấu
Sau khi được tải xuống, kho lưu trữ ZIP sẽ giải nén một tệp ảnh đĩa có tên Tax_Assessment.img. Tệp này chứa hai thành phần mã độc cốt lõi hoạt động cùng nhau trong một chuỗi thực thi theo giai đoạn. Cuối cùng, mã độc này sẽ cài đặt một Remote Access Trojan (RAT) trên hệ thống Windows của nạn nhân. Mục tiêu cuối cùng là trao cho kẻ tấn công quyền kiểm soát từ xa dai dẳng đối với thiết bị, cho phép giám sát, đánh cắp dữ liệu và triển khai các payload bổ sung.
Một khi Tax_Assessment.img được mở, nó sẽ thả hai tệp vào hệ thống: Tax_Assessment.exe và libsvcs.dll. Tệp thực thi đóng vai trò là một bộ tải (loader) sử dụng .NET reflection để tải và chạy DLL mà không tự giữ mã độc cốt lõi. Cả hai tệp đều được bảo vệ bằng ConfuserEx, một công cụ làm rối mã để cản trở việc phát hiện bởi phần mềm bảo mật.
Bộ tải ẩn cửa sổ console của nó, sửa đổi các cài đặt registry và sử dụng siêu dữ liệu giả mạo để hòa lẫn với các thành phần hợp pháp của Windows. DLL payload ngụy trang thành “Runtime Service Host” của Microsoft Corporation, một danh tính giả được thiết kế để tránh gây nghi ngờ với các công cụ hoặc người dùng.
Khả năng của Mã độc và Hạ tầng Chỉ huy & Kiểm soát
Mức độ ngụy trang này cho thấy kẻ tấn công đã thiết kế mã độc cẩn thận như thế nào để ẩn mình trong suốt quá trình lây nhiễm. DLL chứa đầy đủ khả năng của RAT, bao gồm đăng ký khởi động cùng hệ thống, tạo tác vụ theo lịch, thu thập thông tin hệ thống, giám sát hoạt động người dùng và liên lạc được mã hóa trở lại kẻ tấn công. Hành vi này rất giống với họ RAT XWorm, một công cụ phổ biến được các đối tượng có động cơ tài chính ưa chuộng. Sự linh hoạt này làm cho mã độc phù hợp với việc truy cập trái phép dài hạn vào bất kỳ máy nào mà nó xâm nhập.
Mã độc giao tiếp với một máy chủ chỉ huy và kiểm soát (C2) được mã hóa cứng tại 103.231.12.27 qua cổng 4444, được định vị địa lý tại Hồng Kông. Mọi lưu lượng truy cập đều được mã hóa bằng khóa 32 byte được nhúng trong DLL độc hại, khiến việc chặn trở nên cực kỳ khó khăn nếu không có kiến thức trước về khóa.
Tên miền giả mạo harivo[.]vip, nơi lưu trữ cổng thông tin thuế giả mạo, được đăng ký vào tháng 9 năm 2025 và liên kết với cùng hạ tầng cơ sở tại Hồng Kông.
Các Chỉ số Lây nhiễm (IoCs)
Cyfirma đánh giá chiến dịch này là công việc của một đối tượng có động cơ tài chính, mặc dù việc quy kết danh tính chắc chắn vẫn chưa được xác nhận. Việc sử dụng máy chủ khu vực của bên thứ ba là một phương pháp phổ biến mà kẻ tấn công sử dụng để che giấu nguồn gốc thực sự của chúng.
- Tên miền độc hại: harivo[.]vip
- Địa chỉ IP C2: 103.231.12.27
- Cổng C2: 4444
- Tệp thực thi loader: Tax_Assessment.exe
- Tệp DLL payload: libsvcs.dll
- Ảnh đĩa: Tax_Assessment.img
- Công cụ làm rối mã: ConfuserEx
- Họ RAT: XWorm RAT
Khuyến nghị An ninh
Các nhóm bảo mật nên giám sát lưu lượng truy cập ra ngoài đến các địa chỉ IP bên ngoài không xác định và chặn việc thực thi các tệp được phân phối thông qua các kho lưu trữ đã tải xuống hoặc các ảnh đĩa đã gắn kết. Đây là một biện pháp quan trọng trong an ninh mạng.
Các tổ chức nên đào tạo nhân viên xác minh các thông tin liên lạc liên quan đến thuế thông qua các cổng thông tin chính thức của chính phủ trước khi tải xuống bất kỳ thứ gì. Nhận diện các thông điệp tuân thủ khẩn cấp và các lời nhắc giả mạo của chính phủ vẫn là một trong những biện pháp phòng thủ thực tế nhất.
Trong trường hợp xác nhận hoạt động của RAT, các nhóm ứng phó sự cố nên cách ly ngay hệ thống bị ảnh hưởng và thu thập các bằng chứng pháp lý số (forensic artifacts) để điều tra kỹ lưỡng.
Lưu ý: Các địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết tự động. Chỉ nên phục hồi định dạng gốc trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Nguồn tham khảo chi tiết về chiến dịch: Cyfirma Research.
