税务合规季向来是网络钓鱼的高发窗口,而今年的攻击手法又完成了一轮升级——打着官方税务通知的幌子,点开就给设备植入远控木马,迷惑性极强。
网络安全厂商Cyfirma最新披露了一项针对印度地区的恶意活动:攻击者全程冒充当地所得税部门,以高度仿真的“税务评估通知书”为诱饵,向 Windows 用户投放恶意程序。一旦受害者点击下载,设备就会被攻击者完全接管,沦为可远程操控的肉鸡。
一、以假乱真的钓鱼诱饵,精准拿捏用户焦虑
攻击者搭建了与官方税务门户高度相似的虚假网站,页面充斥着专业税务术语、法律条文与处罚说明,刻意营造“逾期将产生严重后果”的紧迫感,诱导用户点击页面中央的“下载评估通知书及明细”按钮。
整个诱饵的还原度极高,配合税务季用户普遍的焦虑心态,哪怕有一定安全意识的用户也容易放松警惕。
二、多阶段投毒链路:解压即中招,木马层层释放
这场攻击采用典型的多阶段投放设计,从用户点击下载到木马落地,每一步都在层层隐藏真实恶意目的:
- 用户点击按钮后,下载得到名为
Tax_Assessment_0609.zip 的恶意压缩包
- 解压后释放磁盘镜像文件
Tax_Assessment.img,镜像内包含两个核心恶意文件
Tax_Assessment.exe 作为加载器运行,通过 .NET 反射技术加载 DLL 载荷,自身不携带核心恶意代码- 最终
libsvcs.dll 在后台完成部署,实现完整的远控木马(RAT)功能
三、多重对抗设计:伪装成系统组件,绕过安全软件
为了规避安全软件查杀,攻击者做了多层对抗处理:
- 两个核心恶意文件均使用 ConfuserEx 混淆工具加壳,代码被深度打乱重写,大幅提升特征识别难度
- 加载器运行时自动隐藏控制台窗口、修改注册表项,同时伪造文件元数据,伪装成正常 Windows 系统组件
- 核心 DLL 冒用“微软运行时服务主机”的身份信息,普通用户和常规检测工具很难识别异常
最终落地的 DLL 具备完整的远控能力,包括开机自启、创建计划任务、采集系统信息、监控用户行为、加密回传数据等,行为特征与黑产圈流行的 XWorm 远控家族高度吻合。这类木马可长期潜伏在设备中,支持数据窃取、监听监控、二次投毒等多种操作,常被牟利型黑客组织使用。
四、攻击基础设施溯源
根据研究人员溯源分析,该恶意程序的命令与控制(C2)服务器 IP 为 103.231.12.27,通过 4444 端口通信,物理位置位于中国香港。所有远控流量均使用内置的 32 字节密钥加密传输,无前置密钥的情况下几乎无法拦截解析流量内容。
承载虚假税务门户的恶意域名 harivo.vip 注册于 2025 年 9 月,与上述 C2 服务器同属一套攻击基础设施。Cyfirma 判断该攻击由牟利型黑客发起,具体组织归属暂未完全确认,使用第三方境外服务器也是攻击者掩盖真实身份的常用手段。
五、防护与应急处置建议
这类冒用官方身份的钓鱼攻击迷惑性极强,个人与企业都需提高警惕:
- 个人用户:所有税务相关通知务必通过官方渠道核实,绝不点击陌生链接、下载来路不明的附件与压缩包
- 企业安全团队:监控外联未知 IP 的异常流量,拦截来自压缩包、挂载镜像释放的可执行文件;定期开展钓鱼防范培训
- 应急处置:一旦确认设备感染远控木马,立即断开网络隔离设备,留存取证镜像并开展全面排查
资讯来源:Cyfirma 威胁报告、Cyber Security News
类似攻击案例与深入的技术讨论,欢迎前往云栈社区的安全板块交流探讨。 | 
发表于 3 小时前
|
查看: 5|
回复: 0
