Фишинг под GST: многоуровневый загрузчик доставляет Remcos RAT

Обнаружена ранее не документированная кампания распространения malware, нацеленная на индийские компании и налогоплательщиков. Threat actors использовали сложные phishing-техники, эксплуатируя тематику GST (Goods and Services Tax). Злоумышленники выдавали себя за легитимные государственные электронные сообщения, рассчитывая на доверие к официальному брендингу и чувство срочности, связанное с финансовыми выплатами. Первые образцы появились на VirusTotal 6 июля 2026 года, после чего атака начала активно распространяться.

Социальная инженерия: уведомление о возврате GST как приманка

Кампания стартует с электронных писем, имитирующих инфраструктуру GST правительства Индии. В одном из наблюдаемых случаев письмо пришло с адреса, выглядящего официально: donotreply.@gst.gov.in. Тема письма указывала на заявку на возврат GST, а вложением выступал сжатый файл GST-Refund_July-26_AL27052600952P.rar. Получателей побуждали открыть архив, чтобы инициировать цепочку заражения. Доверие к государственному брендингу и ожидание денежного возмещения существенно повышали вероятность взаимодействия с вредоносным контентом.

Многоступенчатая атака: от .NET executable до бесфайловой загрузки

Внутри RAR-архива содержался исполняемый файл на базе .NET. Разработчики часто отдают предпочтение .NET-бинарникам за простоту создания и возможность глубокой обфускации, затрудняющей детектирование. Этот executable с помощью функции ServiceChromatic() извлекает вредоносный payload, встроенный в изображение. Код загружается напрямую в память, минуя диск, — классическая техника fileless malware, позволяющая обходить антивирусные средства, ориентированные на сканирование файловой системы.

После запуска payload распаковывает и активирует DLL-библиотеку Windows Health Optimizer Plus.dll, выступающую в роли вторичного loader. Загрузчик обрабатывает команды в шестнадцатеричном формате, управляя дальнейшими операциями, включая process injection. Весь описанный каскад выполняется без сохранения компонентов на диск, что значительно повышает скрытность.

Эскалация привилегий и закрепление в системе

Вредоносная DLL проверяет наличие административных привилегий и при необходимости использует легитимную системную утилиту cmstp.exe для их повышения. Это позволяет malware действовать с максимальными правами. Для обеспечения персистентности создаются копии вредоносного файла в пользовательских директориях, а также настраивается PowerShell-скрипт, запускающийся при старте системы. Таким образом, threat actors гарантируют, что вредоносный код остаётся активным на протяжении всех пользовательских сессий.

Финальная полезная нагрузка: Remcos RAT

Последним разворачиваемым компонентом становится Remcos Remote Access Trojan (RAT) — широко известный инструмент удалённого администрирования, активно используемый в киберпреступных операциях. Его возможности включают:

  • выполнение команд на скомпрометированной машине;
  • управление файловой системой;
  • кейлоггинг (ведение журнала нажатий клавиш);
  • сбор учётных данных;
  • поддержание постоянного удалённого доступа.

Вся архитектура атаки представляет собой сложный многоуровневый loader, спроектированный для сокрытия вредоносной активности и уклонения от средств защиты на каждом этапе — от первоначального phishing-письма до финальной загрузки RAT в память целевой системы.

Инфраструктура и атрибуция

Анализ инфраструктуры выявил использование динамических DNS-сервисов, характерных для cybercrime-операций, и указывает на продуманную стратегию нацеливания именно на Индию. Несмотря на явные признаки ongoing campaign, собранных доказательств пока недостаточно для однозначной привязки к какой-либо известной threat group. Кампания наглядно иллюстрирует эволюцию тактик распространения malware: начальный доступ обеспечивается через phishing, за которым следует тщательно выстроенная цепочка развёртывания fileless malware, завершающаяся внедрением мощного RAT.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: