Una nuova campagna di phishing fiscale sta colpendo utenti in India con un attacco a più fasi progettato per ottenere accesso persistente ai sistemi Windows e avviare attività di cyber spionaggio. I messaggi email imitano comunicazioni ufficiali del dipartimento delle imposte e spingono la vittima a scaricare un archivio ZIP che contiene un eseguibile apparentemente legittimo. Una volta avviato, il file sfrutta una tecnica di DLL sideloading per caricare una libreria malevola nascosta nell’archivio e avviare la catena di infezione.

Il componente DLL esegue controlli anti-analisi per individuare ritardi tipici del debugging e poi contatta un server esterno per recuperare il payload successivo. Il codice scaricato utilizza una tecnica basata su COM per aggirare la richiesta di User Account Control (UAC) e ottenere privilegi elevati, aumentando la capacità di controllo sul dispositivo compromesso. Per ridurre le probabilità di rilevamento, il malware modifica il proprio Process Environment Block (PEB) e si camuffa come il processo di sistema explorer.exe, una strategia comune nelle campagne malware avanzate.

Tra i passaggi più rilevanti emerge il download di un ulteriore stadio da un dominio esterno, distribuito come installer Inno Setup a 32 bit. Questo modulo adatta il comportamento in base alla presenza di AvastUI.exe, indicando un focus specifico sull’evasione degli antivirus. Se il prodotto di sicurezza viene rilevato, l’attaccante non tenta di disattivarlo direttamente, ma usa una simulazione automatizzata del mouse per navigare nell’interfaccia e inserire i file malevoli nella lista di esclusione. Questa tecnica consente di mantenere attivo il motore antivirus riducendo al contempo i controlli sui componenti dannosi.

La campagna culmina con l’installazione di una variante della famiglia Blackmoon, nota anche come KRBanker, e con l’abuso di un tool enterprise legittimo chiamato SyncFuture TSM usato come framework di spionaggio. Sfruttare un software commerciale di monitoraggio e gestione remota permette agli attori della minaccia di controllare gli endpoint, registrare attività utente ed esfiltrare dati sensibili con maggiore affidabilità e persistenza.

Dopo l’esecuzione, vengono creati script batch per generare directory dedicate e alterare permessi e ACL, oltre a componenti che orchestrano servizi e logging esteso. Questo mix di phishing, escalation dei privilegi, evasione antivirus e riuso di strumenti RMM rende la minaccia particolarmente insidiosa per aziende e utenti che gestiscono dati finanziari e documenti fiscali.