🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨

A notícia que você procurava está aqui!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Foi observado um suposto cluster de atividades de ameaça ao nexo da China visando contribuintes indianos, profissionais fiscais e equipes de finanças corporativas para fornecer um trojan de acesso remoto projetado para roubar dados confidenciais de hosts comprometidos.

A campanha de vários estágios, codinome Operação DragonReturn da Seqrite Labs, envolve o envio de e-mails de spear-phishing representando o Departamento de Imposto de Renda da Índia. Foi observado pela primeira vez em 18 de maio de 2026. A atividade, segundo a empresa de segurança cibernética, coincide com a temporada anual de declaração de imposto de renda no país.

“Não é oportunista – a precisão do documento de isca, o uso de citações legais reais, o conteúdo bilíngue e a rotação ativa da carga indicam uma operação de ameaça deliberada, com recursos e sustentada, focada exclusivamente no ecossistema do contribuinte indiano”, disseram os pesquisadores de segurança Dixit Panchal e Soumen Burma.

O objetivo final da campanha é avaliado como a implantação de malware para ganho financeiro ou roubo de dados confidenciais.

As cadeias de ataque começam com mensagens de phishing disfarçadas de departamento de imposto de renda da Índia, usando violações fiscais e iscas de penalidade para induzir um falso senso de urgência e induzir os usuários a clicarem em um link malicioso (“govtop[.]one/incometax”) incorporado em anexos de PDF.

A falsa página de destino, por sua vez, instrui os usuários a baixar um arquivo ZIP contendo o que parece ser um utilitário off-line comum fornecido pelo departamento para arquivar declarações fiscais, mas, na realidade, é projetada para carregar uma DLL maliciosa ("nvdaHelperRemote.dll"), que, por sua vez, injeta outra carga útil na memória.

Essa carga garante que ela seja executada com privilégios administrativos e, caso contrário, aciona um prompt de Controle de Conta de Usuário (UAC) para que o usuário a execute com permissões elevadas. Uma vez iniciado, ele realiza verificações para evitar a execução em ambientes de análise e sandbox e, em seguida, recupera uma imagem JPG ("lllyd.jpg") de um servidor codificado ("204.194.48[.]250") e a armazena como "C:\Windows\background.jpg."

"Este arquivo de imagem é usado como um contêiner para uma carga secundária, da qual uma DLL de 504 KB é extraída e gravada em 'C:\Arquivos de Programas\Windows Media Player\nvdaHelperRemote.dll'", explicou Seqrite Labs. “Depois de extrair a carga útil, o malware se copia como ‘Mixed Reality.exe’ e estabelece persistência criando um serviço do Windows chamado MixedSvc, configurado para iniciar automaticamente na inicialização do sistema.”

“Esse comportamento confirma que o exemplo funciona como um downloader e instalador, usando ocultação de carga útil baseada em imagem e persistência de serviço do Windows para manter o acesso de longo prazo ao sistema infectado”.

O binário "Mixed Reality.exe" é responsável por implantar duas cargas diferentes, uma das quais é um carregador de malware .NET que realiza verificações anti-análise, estabelece persistência, desativa a verificação AMSI do Windows e descriptografa e carrega DCRat na máquina infectada. A segunda carga apresenta recursos para fazer capturas de tela e exfiltrar dados para um servidor remoto ("kkxqbh[.]top").

Não está claro exatamente quem está por trás da atividade, mas a análise da infraestrutura indica o uso de endereços IP pertencentes à ChinaNet, bem como um painel de gerenciamento web em chinês exposto pelo servidor de comando e controle (C2) DCRat (“223.26.63[.]40”). Além disso, Seqrite disse que identificou sobreposições táticas e de infraestrutura com Silver Fox, um grupo chinês de crimes cibernéticos anteriormente atribuído a campanhas de phishing com tema fiscal que fornecem ValleyRAT.

Com base nessas semelhanças, suspeita-se que a campanha seja obra de um ator de ameaça alinhado à China, conduzida com o objetivo de estabelecer acesso secreto para coleta de inteligência, roubo de credenciais e exfiltração sistemática de dados, concluiu Seqrite.

A divulgação ocorre no momento em que a LevelBlue disse ter detectado duas campanhas distintas que empregam instaladores falsos para LINE e e-mails de phishing com iscas de ajuste salarial para distribuir ValleyRAT visando usuários de língua chinesa e japonesa.

A campanha por e-mail começa com um e-mail malicioso contendo um link de URL que, quando acessado pelo destinatário, aciona o download de um arquivo ZIP. O arquivo atua como base para uma cadeia de carregamento lateral de DLL, com a DLL baixando e executando ValleyRAT, um trojan de acesso remoto que permite aos operadores assumir o controle de um sistema infectado.

A cadeia de ataque de instalador falso, por outro lado, emprega instaladores falsos de software popular para entregar o malware usando técnicas como PoolParty Variant 7, ao mesmo tempo em que se concentra na anti-análise e na evasão de detecção, por Cybereason.

Curiosamente, o uso do PoolParty Variant 7 para injetar shellcode em "explorer.exe" foi observado anteriormente em conexão com um carregador de malware personalizado denominado SADBRIDGE, que é projetado para implantar uma reimplementação do Quas baseada em Golang.
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #supostos #hackers #chinanexus #usam #utilitário #falso #de #declaração #de #impostos #indianos #para #implantar #dcrat
🔔 Siga-nos para não perder nenhuma atualização!

Post a Comment