Новости информационная безопасность: Фальшивые налоговые уведомления распространяют опасное ПО в Индии | Новости IT perec.ru

Фальшивые налоговые документы атакуют пользователей Индии

02.07.2026, 23:01:02 ИТ
Подписаться на «Рифы и пачки / Твоя культура»
Фальшивые налоговые документы атакуют пользователей Индии

В Индии зафиксирована новая волна фишинговых атак — пользователям рассылают поддельные уведомления об уплате налогов, за которыми скрывается опасное вредоносное ПО. Об этом сообщили исследователи из CYFIRMA, специализирующейся на кибербезопасности.

Схема проста, как весенний дождь: злоумышленники создали сайт, который один в один копирует официальный портал индийского налогового департамента. На этом ресурсе жертву встречает убедительное "налоговое предписание" — с отсылками к законам, расчетами, штрафами и грозным языком: мол, действуйте быстро, иначе всё пропало.

Доверчивых граждан просят скачать архив ZIP — якобы с деталями расчёта. Файл выглядит, как официальная документация, но на деле внутри прячется образ диска . При извлечении пользователь получает программу-загрузчик, которая запускает опасную DLL-библиотеку. Та мимикрирует под обычную системную службу Windows, но вместо пользы — беда.

По словам специалистов, вирус использует сложные методы сокрытия — так называемый механизм рефлексии, чтобы пройти мимо автоматических антивирусов и затруднить анализ. Для дополнительной надёжности оба файла спрятаны с помощью известной утилиты для защиты кода, затрудняя работу ИБ-отделов.

Когда вредонос активируется, он превращается в троян с удаленным доступом — то есть создает для киберпреступников "портал" к вашему компьютеру: можно наблюдать, собирать данные, выявлять установленные антивирусы, загружать дополнительное ПО и передавать всю информацию на сервер в Гонконге по зашифрованному каналу. Разумеется, всё прячется за привычной внешней мишурой.

CYFIRMA отмечает, что основной смысл атаки — о финансовой выгоде преступников. Механика работы трояна напоминает печально известный семейства XWorm и может использоваться не только для выкачки данных, но и как часть инфраструктуры для последующих атак — например, распространения вымогателей (ransomware) в зависимости от выбранной жертвы.

Как водится, всё это происходит на фоне налогового сезона, когда граждане особенно нервничают и ждут уведомлений — что облегчает задачу злоумышленникам. Специалисты CYFIRMA подчёркивают: подобные схемы уже не раз связывали с вирусами-шифровальщиками. Это значит, что подобная инфекция — лишь верхушка айсберга.

Эксперты советуют: обновляйте антивирусы и проверяйте любое налоговое уведомление только через официальные государственные каналы. Не запускайте сомнительные файлы из архивов и не доверяйте сообщениям, если они пришли не по знакомым каналам. В компаниях стоит запретить запуск неизвестных файлов, тем более через дисковые образы — именно на этом и строится вся схема.


PEREC.RU

В Индии под видом официальных уведомлений налоговой службы набирает обороты новая атака, где жертвам подсовывают зловредные архивы ZIP. Всё происходит по классической схеме: мошенники создают фальшивый сайт — один в один официальный портал налоговой Индию, рассылают пугающие письма с описанием штрафов, отсылками к законам и призывом срочно скачать архив с якобы документацией.

Внутри — не ответы налоговой, а вредоносная программа. Архив скрывает загрузчик и DLL-файл, который притворяется системной службой Windows. Эта "маскировка" нужна, чтобы вирус не отловили антивирусы и его нельзя было быстро изучить. Программа открывает доступ злоумышленникам: они узнают, что установлено на вашем компьютере, следят за работой пользователя, перехватывают данные и могут загружать дополнительные зловреды на команду из Гонконга — соединение шифруется.

Финальная цель — всегда деньги, а грязная работа подгоняет схема из арсенала знаменитых XWorm и вымогателей: одна инфраструктура может обслуживать и шпионов, и рэкетиров. Сейчас, когда сезон налоговой отчётности — самое нервное время для граждан — мошенники рассчитывают на снижение осторожности.

Специалисты CYFIRMA советуют: не доверять архивам из писем, использовать только официальные порталы, держать антивирус свежим, а в компаниях запретить запускать непроверенные файлы из архивов и ISO. Всё остальное — приглашение в кибер-ловушку с платным выходом.

Поделиться

Похожие материалы