你收到一封题为“税务合规通知”的邮件,发件人署着印度财政部执法司,页面样式、印章一个不少,还告诉你必须在72小时内上传材料,否则将面临处罚。你会怎么做?多数人的第一反应是赶紧点进去看看,而这个动作,正好落入了攻击者布下的精密陷阱。
安全机构Cyderes近日披露了一起高度伪装的恶意软件活动。该活动假借印度所得税部门(Income Tax Department)的名义投放虚假警告,诱导目标下载一个ZIP压缩包,最终在受害电脑里植入两个相互独立的远程访问木马(RAT)。研究人员指出,攻击链整整拆成了六个阶段,从诱饵搭建到载荷注入,每一环都经过精心设计,其复杂度远超常见的网络钓鱼。
![]()
整条攻击链的第一个关键节点,是模仿官方门户的钓鱼页面。这些欺诈网站统一使用“/incometax”路径,并伪造了一份合规通知。页面声称收件人所在组织违反了某项税收法律,必须在72小时内完成文件提交,否则执法部门将采取行动。紧张的时间限制和看似官方的口吻,一起削弱了受害者的警惕性。一旦点击“下载文件”的按钮,用户就会被重定向到一个号称“Microsoft Edge 安全网关”的页面。
这个伪装的验证页面干了一件事:让受害者亲眼看到一连串“安全检查”逐一打钩通过。这个看似多此一举的步骤,其实是为了建立信任——既然浏览器都“认证”了这次下载,那接下来的文件应该是安全的吧?检查流程走完之后,浏览器自动下载了一个名为 Common_Offline_Utility_ITR-1_to_4_AY2026-27.zip 的压缩包。文件名里夹带了退税表格编号和未来的评估年份,进一步让文件看起来像一份标准税务工具。
压缩包里的内容才是实际的攻击入口。里面封装了一个合法的、带有数字签名的可执行文件,以及一个名为 nvdaHelperRemote.dll 的恶意动态链接库。当受害者解压并运行那个合法程序时,Windows 按照默认的 DLL 搜索顺序,会优先加载程序自身目录下的同名 DLL,而非系统目录里的正版库文件。攻击者正是利用这一机制,让合法程序在启动时“顺手”加载了恶意 DLL,而且整个过程不会触发任何安全警告,因为签名程序本身是干净的。
这种“DLL 侧加载”手法并不新鲜,但这次的攻击者在获得初步代码执行后,并没有急着释放最终木马,而是继续往下铺设链路。第二阶段的重点在于提权和伪装长期驻留。恶意 DLL 会弹出一个用户账户控制(UAC)的提权提示。由于受害者刚刚运行的是一个有签名的正规程序,突然弹出的 UAC 窗口很容易被当作该程序需要的系统权限而放行。一旦管理员权限到手,恶意代码立刻创建并启动一个名为“Windows 混合现实服务”的持久化服务。这个名称选得相当讨巧——混合现实服务在普通家庭版 Windows 中几乎看不到,自然也很难引起怀疑。
此后,攻击开始转入隐蔽模式。第三阶段,恶意服务从远端基础设施拉取一个文件,表面上看是一张标准的 JPEG 图片,但图片数据之后附加了多段加密的载荷。这种“多语言”文件(polyglot)的精妙之处在于,普通的文件和内容过滤器只检查文件头,“看到”是 JPEG 就放行了,根本不会去扫描尾部藏着的一串二进制代码。对于不执行深度包检测的边界安全设备来说,这就是一张无害的图片。
当图片落地之后,攻击进入第四阶段:解密、拆离附加的加密载荷块。第五阶段的操作几乎完全避开了磁盘,攻击代码利用反射式加载技术在内存中直接展开这些载荷,不再往硬盘写入任何可执行文件。也就是说,当安全软件还在盯着文件系统的写入行为时,恶意逻辑已经在系统进程的内存空间里跑起来了。
这场重头戏的高潮在第六阶段上演。内存中解出的载荷最终向系统注入了两个功能完整的远程访问木马。每一个植入体都连接着各自的命令与控制(C2)服务器,彼此独立运行,互不干扰。这种双 RAT 设计相当于给攻击者装上了一条双保险:即便防守方发现了其中一个后门,切断了它的控制链路,另一个后门仍可维持远程连接,让攻击者继续下达指令、窃取数据或横向移动。Cyderes 的报告特别强调,这种冗余布局反映出攻击者事先就对对抗性防御做了充分推演,整个行动的策划水平已远非普通钓鱼团伙可比。
从虚假通知到双后门落地,六个阶段环环相扣:利用合法签名程序完成初始突破,用 UAC 弹窗获取权限,用系统服务名称伪装持久化,用 JPEG 文件封装加密载荷,再用内存化执行躲开文件监控,最后把一个完整的控制通道拆成两套独立系统。攻击者在乎的不是一步到位,而是确保即使某一环节被截断,后手也能即刻顶上。
整条感染链几乎没有引入零日漏洞,全靠滥用系统自带机制和用户的信任感推进。这不光提醒普通用户对所谓“官方通知”要多一层核查——不要直接点击邮件里的链接,而是自己输入税务部门官网地址——也倒逼企业安全团队重新审视 DLL 加载规则、UAC 提示的语境和内存检测能力。毕竟,当一个文档被设计得足以让你在六次点击之内主动装上两个木马时,再灵敏的杀毒软件也未必追得上这条精心铺就的链。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.