文章总结： 网络安全厂商cyfirma披露针对印度地区的恶意攻击活动，攻击者冒充所得税部门通过高度仿真的税务评估通知书诱饵投放恶意程序。攻击采用多阶段投放设计，使用混淆技术和伪装系统组件规避检测，最终部署具备完整远控能力的木马。建议用户通过官方渠道核实通知，企业需监控异常流量并开展防范培训。 综合评分： 87 文章分类： 恶意软件,应急响应,社会工程学,威胁情报,web安全

冒充税务局投毒！下载一份 “税单”，电脑直接被黑客远程掌控

看雪学苑 看雪学苑

看雪学苑

2026年6月25日 18:07 上海

在小说阅读器读本章

去阅读

税务合规季向来是网络钓鱼的高发窗口期，而今年的攻击手段又完成了新一轮升级——打着官方税务通知的幌子，点开就给设备植入远控木马，迷惑性极强。

网络安全厂商Cyfirma最新披露了一项针对印度地区的恶意攻击活动：攻击者全程冒充当地所得税部门，以高度仿真的“税务评估通知书”为诱饵，向Windows用户投放恶意程序。一旦受害者点击下载，设备就会被攻击者完全接管，沦为可远程操控的“肉鸡”。

一、以假乱真的钓鱼诱饵，精准拿捏用户焦虑

攻击者搭建了与官方税务门户高度相似的虚假网站，页面充斥着专业税务术语、法律条文与处罚说明，刻意营造“逾期将产生严重后果”的紧迫感，诱导用户点击页面中央的“下载评估通知书及明细”按钮。

整个诱饵的还原度极高，配合税务季用户普遍的焦虑心态，哪怕是有一定安全意识的用户也容易放松警惕。

二、多阶段投毒链路：解压即中招，木马层层释放

这场攻击采用典型的多阶段投放设计，从用户点击下载到木马落地，每一步都在层层隐藏真实恶意目的：

1. 用户点击按钮后，下载得到名为 Tax\_Assessment\_0609.zip 的恶意压缩包

2. 解压后释放磁盘镜像文件 Tax\_Assessment.img，镜像内包含两个核心恶意文件

3. Tax\_Assessment.exe 作为加载器运行，通过.NET反射技术加载DLL载荷，自身不携带核心恶意代码

4. 最终 libsvcs.dll 在后台完成部署，实现完整的远程控制木马（RAT）功能

三、多重对抗设计：伪装成系统组件，绕过安全软件

为了规避安全软件查杀，攻击者做了多层对抗处理：

• 两个核心恶意文件均使用ConfuserEx混淆工具加壳，代码被深度打乱重写，大幅提升特征识别难度

• 加载器运行时自动隐藏控制台窗口、修改注册表项，同时伪造文件元数据，伪装成正常Windows系统组件

• 核心DLL冒用“微软运行时服务主机”的身份信息，普通用户和常规检测工具很难识别异常

最终落地的DLL具备完整的远控能力，包括开机自启、创建计划任务、采集系统信息、监控用户行为、加密回传数据等，行为特征与黑产圈流行的XWorm远控家族高度吻合。这类木马可长期潜伏在设备中，支持数据窃取、监听监控、二次投毒等多种操作，常被牟利型黑客组织使用。

四、攻击基础设施溯源

根据研究人员溯源分析，该恶意程序的命令与控制（C2）服务器IP为 103.231.12.27，通过4444端口通信，物理位置位于中国香港。所有远控流量均使用内置的32字节密钥加密传输，无前置密钥的情况下几乎无法拦截解析流量内容。

承载虚假税务门户的恶意域名 harivo.vip 注册于2025年9月，与上述C2服务器同属一套攻击基础设施。Cyfirma判断该攻击由牟利型黑客发起，具体组织归属暂未完全确认，使用第三方境外服务器也是攻击者掩盖真实身份的常用手段。

五、防护与应急处置建议

这类冒用官方身份的钓鱼攻击迷惑性极强，个人与企业都需提高警惕：

• 个人用户：所有税务相关通知务必通过官方渠道核实，绝不点击陌生链接、下载来路不明的附件与压缩包

• 企业安全团队：监控外联未知IP的异常流量，拦截来自压缩包、挂载镜像释放的可执行文件；定期开展钓鱼防范培训

• 应急处置：一旦确认设备感染远控木马，立即断开网络隔离设备，留存取证镜像并开展全面排查

资讯来源：Cyfirma 威胁报告、Cyber Security News

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《冒充税务局投毒！下载一份 “税单”，电脑直接被黑客远程掌控》