E-mails que simulam avisos do Departamento de Imposto de Renda da Índia entregam um arquivo ZIP malicioso, fazem sideload de DLL, tentam elevar privilégio e instalam componentes para monitoramento remoto, persistência e exfiltração de dados.
| Componente | Campanha de phishing contra usuários indianos usando arquivo ZIP malicioso, variante do Blackmoon/KRBanker e SyncFuture TSM como ferramenta RMM reaproveitada. |
| Vetor | E-mails que imitam avisos de penalidade fiscal do Departamento de Imposto de Renda da Índia induzem a vítima a abrir um arquivo com executável visível e arquivos ocultos usados para sideload de DLL. |
| Impacto | A cadeia pode conceder acesso persistente ao endpoint, monitoramento de atividade do usuário, controle remoto e exfiltração de informações de interesse após múltiplos estágios de execução. |
| Prioridade | Bloquear anexos e domínios associados à campanha, revisar endpoints com execução de Inspection Document Review.exe, 180.exe, Setup.exe, mysetup.exe e MANC.exe, e validar exclusões indevidas no Avast Free Antivirus. |
| Artefatos | O ZIP contém cinco arquivos, com apenas Inspection Document Review.exe visível; a cadeia menciona 180.exe, Setup.exe, mysetup.exe, MANC.exe, scripts em lote e DLLs maliciosas. |
| IoCs | Domínio de estágio posterior observado como eaxwwyr[.]cn; o indicador deve ser tratado como defangado e investigado em DNS, proxy, EDR e firewall. |
Uma campanha de phishing direcionada a usuários na Índia usa iscas fiscais para entregar uma cadeia de malware em múltiplos estágios. A mensagem se passa pelo Departamento de Imposto de Renda da Índia e tenta convencer a vítima a baixar um arquivo ZIP apresentado como aviso de penalidade ou documento de inspeção. O objetivo operacional não se limita à execução inicial: a cadeia busca estabelecer acesso duradouro ao sistema, preparar o ambiente para monitoramento contínuo e habilitar coleta de informações a partir do endpoint comprometido.
O estágio final combina uma variante associada à família Blackmoon, também conhecida como KRBanker, com o reaproveitamento do SyncFuture TSM, uma ferramenta comercial de gerenciamento e monitoramento remoto. Esse modelo é relevante para defesa porque mistura malware clássico, técnica de sideload de DLL, evasão de análise, elevação de privilégio, alteração de identidade de processo e abuso de software legítimo. A atividade não foi atribuída a um grupo conhecido no material analisado, mas apresenta características compatíveis com operação de espionagem: persistência, controle granular do host, registro de atividade e exfiltração de dados de interesse.
O arquivo ZIP entregue pela isca fiscal contém cinco arquivos. Apenas o executável Inspection Document Review.exe fica visível ao usuário, enquanto os demais componentes permanecem ocultos no arquivo. Esse executável é usado para acionar sideload de uma DLL maliciosa incluída no próprio pacote. A escolha do sideload reduz a necessidade de explorar uma vulnerabilidade específica e desloca a detecção para a relação entre o executável iniciado, a biblioteca carregada e o diretório de origem do anexo.
A DLL executa verificações contra atrasos induzidos por depuradores, um comportamento típico de anti-análise. Em seguida, ela contata um servidor externo para buscar o próximo estágio. O shellcode baixado usa uma técnica baseada em COM para contornar o prompt do Controle de Conta de Usuário e obter privilégios administrativos. Também altera o próprio Process Environment Block para se apresentar como o processo legítimo explorer.exe, tentativa que pode confundir análises superficiais baseadas apenas no nome exibido do processo.
Após essa preparação, a cadeia recupera 180.exe a partir do domínio defangado eaxwwyr[.]cn. O arquivo é descrito como um instalador Inno Setup de 32 bits e adapta seu comportamento conforme a presença do processo AvastUI.exe, associado ao Avast Free Antivirus. Quando esse produto é identificado, o malware não tenta necessariamente desligar o mecanismo de proteção; em vez disso, usa simulação automatizada de mouse para navegar pela interface e inserir arquivos maliciosos na lista de exclusões. Essa abordagem é importante para times de detecção porque a alteração pode parecer uma configuração local do usuário, embora tenha sido conduzida por automação maliciosa.
O arquivo adicionado às exclusões é Setup.exe, uma utilidade atribuída à SyncFutureTec Company Limited, usada para gravar mysetup.exe no disco. Esse último componente é avaliado como SyncFuture TSM, ferramenta comercial com capacidades de RMM. Depois da execução, a cadeia também implanta scripts em lote para criar diretórios customizados e modificar listas de controle de acesso, concedendo permissões amplas a todos os usuários. Outro executável, MANC.exe, aparece como componente de orquestração de serviços e habilitação de registro detalhado.
A superfície exposta começa no usuário que recebe e abre o anexo de phishing. O contexto indica foco em usuários indianos e uso de tema fiscal, o que sugere maior risco para pessoas ou organizações que tratam comunicações tributárias como fluxo operacional legítimo. Como a cadeia depende de execução local do arquivo e de componentes Windows, a defesa deve concentrar a triagem em estáções de trabalho que tenham aberto anexos ZIP recentes relacionados a penalidades, inspeções ou documentos fiscais supostamente emitidos por órgão governamental indiano.
O impacto técnico cresce quando a cadeia consegue elevar privilégio, alterar a aparência do processo e instalar componentes de gerenciamento remoto. Ambientes onde usuários possuem permissões amplas, onde anexos podem ser executados diretamente a partir de diretórios temporários e onde exclusões de antivírus não são monitoradas ficam mais expostos. A presença do Avast Free Antivirus muda o fluxo observado porque o malware tenta interagir com a interface para cadastrar exclusões, mas a ausência desse produto não elimina o risco da cadeia principal.
- Endpoints Windows que executaram
Inspection Document Review.exea partir de arquivo ZIP recebido por e-mail. - Hosts com carregamento suspeito de DLL a partir do mesmo diretório de um anexo ou executável de aparência documental.
- Sistemas com conexão para o domínio defangado
eaxwwyr[.]cnou tentativa de baixar180.exe. - Máquinas com exclusões recentes no Avast Free Antivirus envolvendo
Setup.exeou caminhos criados pela cadeia. - Ambientes onde
mysetup.exe, SyncFuture TSM ouMANC.exeaparecem sem processo formal de implantação corporativa.
A investigação deve começar pela telemetria de e-mail e endpoint, correlacionando mensagens com tema fiscal, anexos ZIP e execução posterior de binários com nomes de documento. No host, a sequência mais útil é temporal: abertura do ZIP, execução de Inspection Document Review.exe, carregamento de DLL no mesmo caminho, contato externo para recuperação de estágio, execução de shellcode, tentativa de elevação via COM, alteração de identidade aparente para explorer.exe e download de 180.exe. A defesa não precisa reproduzir a cadeia para caçá-la; basta procurar a combinação de artefatos, relações pai-filho e mudanças de configuração.
No antivírus e no EDR, exclusões criadas de forma incomum devem receber prioridade. A técnica descrita usa automação de mouse para operar a interface do Avast e adicionar arquivos à lista de exclusão sem necessariamente interromper o produto. Isso significa que a presença do antivírus ativo não é evidência suficiente de bloqueio. Analistas devem revisar eventos de configuração, alterações em listas de exceção, criação de diretórios com permissões permissivas e instalação de software RMM sem ticket ou change aprovado.
Na rede, o domínio defangado eaxwwyr[.]cn deve ser pesquisado em DNS, proxy, firewall e registros de resolução local. A análise deve observar também conexões imediatamente posteriores à execução dos binários citados e downloads de instaladores de 32 bits. Em identidade e sistema de arquivos, sinais relevantes incluem scripts em lote que alteram ACLs para conceder permissão a todos os usuários, serviços novos ou modificados, logging incomum ativado por MANC.exe e presença de componentes SyncFuture em estáções que não fazem parte do inventário autorizado.
- Execução de
Inspection Document Review.exeseguida de carregamento de DLL no mesmo diretório do anexo. - Processos que tentam se apresentar como
explorer.exeapós execução de arquivo baixado por phishing. - Download ou execução de
180.exeassociado a instalador Inno Setup de 32 bits. - Mudanças recentes em exclusões do Avast Free Antivirus, especialmente envolvendo
Setup.exe. - Criação de diretórios por scripts em lote com ACLs permissivas para todos os usuários.
- Aparecimento de
mysetup.exe, SyncFuture TSM ouMANC.exeem hosts sem autorização administrativa.
A resposta deve priorizar contenção de endpoints com artefatos da cadeia, preservação de evidências e remoção controlada dos componentes instalados. Máquinas com execução confirmada de Inspection Document Review.exe, 180.exe, Setup.exe, mysetup.exe ou MANC.exe devem ser isoladas da rede para impedir continuidade de controle remoto e possível exfiltração. Antes de limpeza, é recomendável coletar linha do tempo de processos, conexões de rede, arquivos criados, serviços registrados, chaves de persistência, alterações de ACL e configurações de exclusão do antivírus.
No controle preventivo, a organização deve reforçar filtragem de anexos ZIP, bloqueio de execução a partir de diretórios temporários e validação de anexos com tema fiscal. Também é necessário tratar ferramentas RMM como software de alto risco: apenas versões aprovadas, caminhos esperados e instalações inventariadas devem ser permitidos. O abuso do SyncFuture TSM mostra que um binário comercial pode se tornar parte da cadeia de intrusão quando implantado fora do fluxo administrativo legítimo.
A recuperação precisa incluir revisão das permissões alteradas por scripts em lote. Diretórios criados pela cadeia e ACLs concedidas a todos os usuários devem ser revertidos conforme o padrão da organização. Exclusões no Avast Free Antivirus devem ser auditadas e removidas quando não houver justificativa operacional. Após a contenção, a defesa deve buscar o mesmo padrão em outros hosts, porque campanhas de phishing tendem a produzir múltiplas tentativas de execução antes que uma infecção completa seja identificada.
- Isolar endpoints com artefatos confirmados e coletar evidências antes de remover arquivos.
- Bloquear o domínio defangado
eaxwwyr[.]cne pesquisar resoluções históricas em DNS, proxy e firewall. - Remover exclusões indevidas no Avast Free Antivirus e revisar quem ou qual processo as criou.
- Validar se SyncFuture TSM,
mysetup.exeeMANC.exefazem parte do inventário autorizado; tratar qualquer instalação não aprovada como suspeita. - Reverter ACLs permissivas criadas por scripts e auditar diretórios novos relacionados à cadeia.
- Fortalecer políticas de e-mail para anexos ZIP com temas fiscais e impedir execução direta de binários extraídos de anexos.
0 Comentários