جامع الضرائب الوهمي: كيف يستغل مجرمو الإنترنت موسم الضرائب في الهند لاختراق المؤسسات

العنوان الفرعي: موجة جديدة من الهجمات تستغل إشعارات ضريبية مزيفة وبرمجيات خبيثة متعددة الطبقات للتسلل إلى المنظمات الهندية تحت غطاء الرسمية.

تبدأ القصة بتنبيه في بريدك الإلكتروني: رسالة صارمة من "دائرة ضريبة الدخل"، مليئة بشعارات حكومية وتحذيرات شديدة بشأن الامتثال. لكن خلف هذا القناع البيروقراطي تكمن عملية سرقة رقمية. مع ذروة موسم الضرائب في الهند، يقوم مجرمو الإنترنت بتسليح قلق البلاد بشأن تقديم الإقرارات الضريبية، ويطلقون هجمات برمجيات خبيثة متطورة ومتعددة المراحل تستهدف المؤسسات غير الحذرة في جميع أنحاء البلاد.

حقائق سريعة

المهاجمون ينتحلون شخصية دائرة ضريبة الدخل الهندية عبر رسائل تصيد إلكتروني مقنعة للغاية.
تستخدم الحملات الخبيثة مرفقات مزيفة بعنوان "إشعار مراجعة الامتثال الضريبي" لجذب الضحايا.
يتم توجيه الضحايا إلى بوابات احتيالية ويُطلب منهم تعطيل برامج الحماية من الفيروسات.
تقوم البرمجيات الخبيثة متعددة الطبقات بتثبيت أحصنة طروادة للوصول عن بعد (RAT) بشكل دائم على أنظمة المؤسسات.
تشير الأدلة التقنية إلى أن بنية البرمجيات الخبيثة مرتبطة بالصين.

تشريح الهجوم

تبدأ الخطة برسائل تصيد موجهة تحاكي اتصالات رسمية من الحكومة الهندية - حتى في الشعار والرؤوس وأرقام تعريف الوثائق (DIN) المزيفة. تتجاوز الرسائل بذكاء مرشحات البريد المزعج عبر تضمين الإشعار المزيف كصورة بدلاً من نص، وتأتي من عناوين بريد إلكتروني عامة مشبوهة (مثل Outlook.com)، وهو أمر يثير الشك لدى المتمرسين.

يُرفق بالبريد ملف PDF يبدو بريئاً بعنوان "مرفق المراجعة.pdf". عند فتحه، يتم إعادة توجيهك إلى بوابة امتثال ضريبي مزيفة - نسخة مقنعة مستضافة على نطاق مشبوه. لا توجد صفحة تسجيل دخول؛ بدلاً من ذلك، يُطلب من الضحايا تنزيل ملف مضغوط "مرفق المراجعة.zip". وبجرأة، يوجه الموقع المستخدمين لتعطيل برامج الحماية من الفيروسات، مدعياً أن ذلك ضروري للتوافق - خدعة قديمة تهدف لفتح الباب أمام البرمجيات الخبيثة.

داخل الملف المضغوط يوجد مُثبت NSIS موقع رقمياً من شركة تكنولوجيا صينية. يقوم هذا المثبت بتثبيت ملف تنفيذي ثانٍ بصمت (أيضاً موقع من شركة صينية)، والذي بدوره يفك عدداً من الملفات - ملفات تنفيذية، مكتبات DLL، وبرامج تشغيل - في مجلد مخفي. تتجمع هذه المكونات لتشكّل حصان طروادة للوصول عن بعد (RAT) بميزات كاملة، مصمم للسيطرة الخفية والدائمة.

تضمن البرمجيات الخبيثة بقائها بعد إعادة تشغيل النظام عبر تسجيل نفسها كخدمة ويندوز تحت اسم مضلل "خدمة الحماية الفورية لويندوز". ثم تبدأ بجمع بيانات النظام والتطبيقات بهدوء، وترسلها إلى خوادم القيادة والتحكم باستخدام منافذ شبكة غير تقليدية - كوسيلة للتمويه. وتشير الأدلة التقنية، من توقيعات الشيفرة إلى آثار اللغة، إلى عملية تطوير مقرها الصين.

تداعيات أوسع

تُعد هذه الحملة تذكيراً صارخاً: حتى أكثر المواضيع الحكومية ألفة يمكن أن تتحول إلى أدوات خداع. من خلال استغلال الثقة في الاتصالات الرسمية وبناء بنية هجوم متعددة الطبقات، حوّل مجرمو الإنترنت موسم الضرائب الروتيني إلى ساحة صيد لبيانات المؤسسات. ومع نمو الاقتصاد الرقمي في الهند، يزداد ذكاء من يسعون لاختراقه. أصبح اليقظة وتدريب الموظفين والدفاعات التقنية أكثر أهمية من أي وقت مضى لإبقاء هذه الأشباح الرقمية بعيدة.

ويكيكروك

التصيد الاحتيالي: التصيد الاحتيالي هو جريمة إلكترونية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين للكشف عن بيانات حساسة أو النقر على روابط خبيثة.
حصان طروادة للوصول عن بعد (RAT): هو برمجية خبيثة تتيح للمهاجمين التحكم سراً في جهاز الضحية من أي مكان، مما يمكّنهم من السرقة والتجسس.
أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالباً من خادم القيادة والتحكم (C2)، لتوجيهه بتنفيذ إجراءات محددة، أحياناً لأغراض خبيثة.
الاستمرارية: الاستمرارية تشمل تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والبقاء مخفية على الأنظمة، غالباً عبر تقليد العمليات أو التحديثات الشرعية.
توقيع الشيفرة: توقيع الشيفرة هو عملية توقيع البرمجيات رقمياً لإثبات أنها من مصدر موثوق ولم يتم التلاعب بها.