Hacker nutzen gefälschte Steuerbehörden-Mitteilungen zur Verbreitung von Malware

Die Seite fordert die Besucher auf, auf einen Button mit der Beschriftung „DOWNLOAD ASSESSMENT ORDER & WORKINGS“ (Bewertungsbescheid & Berechnung) zu klicken, was sofort ein bösartiges Archivfile auf den Computer des Opfers liefert, anstatt eines echten Regierungsdokuments.

"Official Tax Notice – Income Tax Department, India": https://zyisykm[.]shop/ pic.twitter.com/U57PycUwkN — MalwareHunterTeam (@malwrhunterteam) April 27, 2026 Forscher bösartige Domain zyisykm[.]shop am 27. April 2026 und lenkten damit noch größere Aufmerksamkeit auf diese aktive Bedrohung.

Der Beitrag erlangte große Aufmerksamkeit und sammelte innerhalb weniger Stunden nach der Veröffentlichung über 2.700 Aufrufe.

Ihre Ergebnisse wurden schnell bestätigt, als

Ihre Ergebnisse wurden schnell bestätigt, als der Sicherheitsforscher Szabolcs Schmidt (@smica83) die MalwareBazaar Bedrohungsarchiv unter bazaar.abuse.ch hochlud und damit bestätigte, dass der Download-Button aktiv bösartigen Inhalt an Besucher lieferte.

Die Auswirkung dieser Kampagne ist erheblich, weil sie die natürliche Angst der Steuerzahler in Bezug auf Fristen einbezieht. Viele Empfänger, insbesondere solche mit begrenztem technischen Wissen, glauben wahrscheinlich, dass eine Autorität besitzt.

Dieser psychologische Druck macht sie weitaus wahrscheinlicher, Anweisungen zu befolgen und Dateien ohne Fragen herunterzuladen, was genau das ist, worauf Angreifer spekulieren.

Indische Einzelpersonen und Unternehmen, die

Indische Einzelpersonen und Unternehmen, die in den Finanz- und Unternehmenssektoren tätig sind, sind weiterhin einem erhöhten Risiko ausgesetzt, da diese Art Bedrohung existiert nicht isoliert.

Ähnliche Kampagnen, die so früh wie Anfang 2026 beobachtet wurden, nutzten gefälschte Steuer-E-Mails, um gefährliche Malware-Familien wie Blackmoon Banking Malware und XRed Remote Access Trojans zu verbreiten.

Die zunehmende Häufigkeit dieser Angriffe während der Steuererklärungszeit in Indien zeigt, dass Cyberkriminelle ihre Operationen bewusst timen, um Perioden finanziellen Stresses und regulatorischer Dringlichkeit auszunutzen.

Wie die Infektionskette funktioniert Das Verständnis,

Wie die Infektionskette funktioniert Das Verständnis, wie dieser Angriff äuft, hilft zu erklären, warum er so effektiv bleibt.

Der Angriff beginnt, wenn ein Opfer eine Phishing-E-Mail erhält oder eine gefälschte Website besucht, die offizielle Regierungsmarken trägt und mit erfundenen Referenznummern, Compliance-Fristen und offiziell klingender Sprache versehen ist, um Dringlichkeit zu erzeugen.

Das Opfer wird dann aufgefordert, auf einen Download-Button zu klicken, der sofort ein bösartiges ZIP-Archiv auf das Gerät lädt. Nachdem das Opfer die heruntergeladene ZIP-Datei entpackt hat, findet es ein ausführbares Programm darin.

Diese Datei ist oft ein NSIS-basierter

Diese Datei ist oft ein NSIS-basierter stiller Dropper, eine Art Installer, der im Hintergrund mehrere bösartige Komponenten leise entpackt und installiert, während das Opfer nichts Verdächtiges bemerkt.

Wie in verwandten Kampagnen, die , ist bekannt, dass diese Dropper Remote Access Trojans (RATs) und Infostealer installieren können, die in der Lage sind, sensible Daten zu sammeln, Tastatureingaben zu protokollieren und sich für weitere Anweisungen mit den.

Um den Betrug zu vervollständigen, fügen Angreifer gefälschte Anweisungen in das bösartige Paket ein, in denen sie die Benutzer auffordern, ihre Antivirensoftware zu deaktivieren, bevor sie die Datei ausführen, und behaupten, dies sei für die Nutzung des „Income Tax Department client“ erforderlich.

Dies ist ein bekanntes -Engineering-Manöver, das

Dies ist ein bekanntes -Engineering-Manöver, das die letzte Verteidigungslinie beseitigt, bevor die Malware auf dem Zielsystem vollständig ausgeführt wird.

Benutzer, die unerwünschte Steuerbescheide per E-Mail erhalten oder auf unbekannte Websites stoßen, die angeblich das Income Tax Department repräsentieren, sollten die Quelle überprüfen, bevor sie irgendetwas herunterladen. Stellen Sie immer sicher, dass Sie für authentische Mitteilungen nur das offizielle Regierungsportal unter incometax.gov.in besuchen.

Deaktivieren Sie niemals Antiviren- oder Sicherheitssoftware aufgrund , die in einer heruntergeladenen Datei enthalten sind. Organisationen sollten die Mitarbeiter darin schulen, Phishing-Versuche zu erkennen und verdächtige E-Mails sofort an ihre IT-Teams zu melden.

Moegliche Anwendungen

Wenn Sie glauben, dass Ihr Gerät kompromittiert wurde, trennen Sie es vom Netzwerk und kontaktieren Sie sofort einen qualifizierten Cybersicherheitsexperten. Sie uns auf

Setzen Sie CSN als bevorzugte Quelle in Google. Der Beitrag Hackers Using Fake Income Tax Department’s Notice to Deploy Malware erschien zuerst auf Cyber Security News.