phishingmalwareurząd skarbowyRAT

Fałszywy urząd skarbowy prowadzi do dwóch RAT-ów

2026-07-12

Fałszywy urząd skarbowy może prowadzić do pobrania podpisanego pliku i dwóch trojanów zdalnego dostępu. Wyjaśniamy mechanizm i reakcję firmy.

Fałszywy urząd skarbowy prowadzi do dwóch RAT-ów

TL;DR

Fałszywe pismo podatkowe nie musi kończyć się na kradzieży danych w formularzu. W kampanii opisanej przez zespół Cyderes ofiara była prowadzona przez witrynę podszywającą się pod administrację skarbową, pozorną kontrolę bezpieczeństwa Microsoftu i pobranie archiwum z programem. Uruchomienie pliku rozpoczynało sześciostopniowy łańcuch, którego finałem były dwa niezależne trojany zdalnego dostępu, czyli RAT-y.

Szczególnie mylący był podpisany cyfrowo plik wykonywalny. Sam program był legalny, ale z tego samego katalogu wczytywał złośliwą bibliotekę DLL. Późniejsze etapy działały częściowo w pamięci i umieszczały kod w procesach svchost.exe, co ograniczało liczbę oczywistych plików pozostawionych na dysku.

Nie ma podstaw, aby twierdzić, że opisana przez Cyderes kampania była kierowana do Polski. Polski kontekst jest jednak bezpośredni: Krajowa Administracja Skarbowa w 2026 roku wielokrotnie ostrzegała przed fałszywymi e-mailami, linkami i załącznikami, które mogą prowadzić do kradzieży danych albo zainfekowania komputera. Dlatego scenariusz jest przydatnym modelem obrony dla księgowości, finansów, biur rachunkowych i zespołów IT.

Dlaczego wiadomość z urzędu skarbowego działa jako przynęta

Podszycie się pod administrację podatkową łączy kilka silnych bodźców: autorytet instytucji, możliwość kary, termin administracyjny i konieczność dostarczenia dokumentów. Odbiorca nie musi uwierzyć w każdy szczegół. Wystarczy, że uzna sprawę za zbyt ważną, aby odłożyć ją na później.

W analizowanej kampanii fałszywe zawiadomienie informowało o rzekomym naruszeniu przepisów podatkowych. Organizacja miała przekazać dokumenty w ciągu 72 godzin, aby uniknąć sankcji i działań prawnych. Przycisk pobrania materiałów prowadził do kolejnego etapu, który udawał techniczną weryfikację bezpieczeństwa.

To istotna różnica względem prostego phishingu. Atak nie prosił od razu o hasło ani pieniądze. Budował serię pozornie logicznych kroków: przeczytaj pismo, przejdź kontrolę, pobierz oficjalne narzędzie, uruchom je i zatwierdź wymagane uprawnienia.

Jak wyglądał łańcuch od pisma do dwóch RAT-ów

1. Fałszywe wezwanie podatkowe

Pierwszy etap wykorzystywał witryny imitujące indyjski urząd podatkowy. Komunikat posługiwał się urzędową identyfikacją i presją 72 godzin. Jego zadaniem nie było jeszcze uruchomienie malware, lecz skłonienie odbiorcy do rozpoczęcia procesu.

2. Pozorna kontrola Microsoft Edge

Po kliknięciu użytkownik trafiał na stronę przedstawioną jako „Microsoft Edge Secure Gateway”. Ekran pokazywał rzekome sprawdzenie szyfrowania, certyfikatu, integralności pliku i obecności malware. Wszystkie testy kończyły się powodzeniem niezależnie od rzeczywistej zawartości.

Taki ekran pełni funkcję teatru bezpieczeństwa. Ma nie tylko wyglądać profesjonalnie, lecz także uprzedzić naturalne pytanie odbiorcy: czy pobierany plik jest bezpieczny? Atakujący sam wyświetla odpowiedź „tak”, zanim użytkownik zdąży sprawdzić ją w niezależnym źródle.

3. Podpisany program i złośliwa biblioteka DLL

Pobrane archiwum zawierało dwa elementy: legalny, podpisany cyfrowo program oraz złośliwą bibliotekę DLL. Po uruchomieniu program szukał wymaganej biblioteki w swoim katalogu i znajdował plik podstawiony przez napastnika.

Technika ta jest określana jako DLL side-loading. Zaufana aplikacja staje się nośnikiem uruchamiającym obcy kod. Podpis cyfrowy nadal może być poprawny dla legalnego pliku, ale nie potwierdza bezpieczeństwa elementów leżących obok niego ani celu, w jakim cały pakiet został zestawiony.

4. Żądanie uprawnień i kolejne etapy infekcji

Malware sprawdzało, czy działa z uprawnieniami administratora. W przeciwnym razie ponownie uruchamiało proces i wyświetlało kontrolę konta użytkownika Windows, czyli komunikat UAC. Z perspektywy pracownika był to kolejny moment decyzji. Zatwierdzenie prośby umożliwiało instalację usługi systemowej i kontynuację łańcucha z wyższymi uprawnieniami.

Następnie pobierany był plik wyglądający jak zwykły obraz JPEG. Był to plik poliglotyczny: przeglądarka mogła wyświetlić go jako obraz, ale malware odczytywało dodatkowe dane zapisane poza właściwą zawartością graficzną. Kolejne moduły były odszyfrowywane i uruchamiane, a część z nich nie występowała na dysku w finalnej, rozpakowanej formie.

5. Kod w procesach systemowych i dwa kanały dostępu

Późniejsze etapy umieszczały kod w procesach svchost.exe. Jest to przykład wstrzykiwania procesu, czyli uruchamiania kodu w przestrzeni innego, legalnego procesu. Celem jest utrudnienie analizy i zmniejszenie widoczności aktywności jako osobnego programu.

Finałem były dwa niezależne implanty: pochodna Gh0st RAT oraz narzędzie z rodziny Quasar/AsyncRAT. RAT, czyli remote access trojan, daje napastnikowi zdalny dostęp do urządzenia. W tym przypadku funkcje obejmowały między innymi wykonywanie poleceń, operacje na plikach, przechwytywanie obrazu ekranu i komunikację z infrastrukturą sterującą.

Dwa implanty korzystały z oddzielnych kanałów komunikacji. Zablokowanie jednego połączenia nie oznaczało więc automatycznie usunięcia całego dostępu napastnika.

Schemat od fałszywego pisma podatkowego przez pozorną kontrolę, archiwum i DLL side-loading do dwóch trojanów zdalnego dostępu

Proces wykorzystuje kilka kolejnych sygnałów zaufania: urząd, Microsoft, podpis cyfrowy i proces systemowy. Bezpieczne zatrzymanie powinno nastąpić przed pobraniem pliku, a najpóźniej przy żądaniu uruchomienia archiwum lub zatwierdzenia UAC.

Podpis cyfrowy nie potwierdza bezpieczeństwa całego procesu

Podpis cyfrowy pomaga ustalić, kto podpisał konkretny plik i czy został on zmieniony po podpisaniu. Nie odpowiada jednak na pytanie, czy plik jest uruchamiany w prawidłowym kontekście, czy obok niego nie umieszczono złośliwej biblioteki i czy źródło pobrania jest autentyczne.

Dla użytkownika komunikat systemowy z nazwą znanego wydawcy może wyglądać jak ostateczne potwierdzenie bezpieczeństwa. Dla IT i SOC powinien być tylko jednym z sygnałów. Istotne jest również to, skąd plik pochodzi, co znajduje się w tym samym katalogu, jakie biblioteki ładuje, czy tworzy usługę i z jakimi adresami nawiązuje połączenia.

Praktyczna zasada brzmi: poprawny podpis legalnego programu nie zatwierdza całego archiwum ani działań uruchamianych przez dołączone komponenty.

Co ten scenariusz oznacza dla polskich firm

Konkretna kampania opisana przez Cyderes była dopasowana do indyjskiego systemu podatkowego. Nie należy przenosić jej wskaźników technicznych na polskie środowisko bez potwierdzenia. Motyw socjotechniczny jest jednak łatwo przenośny: kontrola, korekta deklaracji, brakujące dokumenty, zaległość, wezwanie do wyjaśnień albo aktualizacja narzędzia podatkowego.

W Polsce KAS informowała w 2026 roku o fałszywych wiadomościach podszywających się pod urzędy skarbowe, Krajową Administrację Skarbową i Ministerstwo Finansów. Ostrzeżenia dotyczyły linków, załączników oraz prób wyłudzania danych. Oficjalny komunikat z 4 maja wskazywał wprost, że otwarcie załącznika lub linku może doprowadzić do zainfekowania komputera szkodliwym oprogramowaniem.

Najbardziej narażone są osoby, które zawodowo obsługują korespondencję finansową i podatkową. W biurach rachunkowych jedna skrzynka może zawierać sprawy wielu klientów, a pracownik jest przyzwyczajony do terminów, dokumentów i nietypowych załączników. Podobne ryzyko dotyczy działów księgowości, kadr, finansów i sekretariatów.

Co powinien zrobić użytkownik przed pobraniem pliku

Nie trzeba samodzielnie rozstrzygać, czy każdy element wiadomości jest fałszywy. Bezpieczna decyzja polega na przerwaniu ścieżki narzuconej przez nadawcę i niezależnym sprawdzeniu sprawy.

W praktyce oznacza to:

  • nie przechodzić do obsługi pisma przez link z nieoczekiwanej wiadomości;
  • nie uruchamiać programu podatkowego pobranego z witryny otwartej z takiego linku;
  • samodzielnie wpisać adres oficjalnej usługi albo skorzystać z zapisanego wcześniej odnośnika;
  • potwierdzić sprawę przez infolinię KAS, urząd lub wewnętrzną osobę odpowiedzialną za podatki;
  • potraktować żądanie UAC jako osobny punkt decyzyjny, a nie techniczną formalność;
  • zgłosić wiadomość do IT lub zespołu bezpieczeństwa, zamiast jedynie ją usunąć.

KAS wskazuje numer infolinii 22 330 03 30 jako kanał weryfikacji podejrzanej korespondencji. Wiadomość można również przekazać do CERT Polska przez oficjalny formularz zgłoszeniowy.

Co powinny monitorować IT i SOC

Ten scenariusz pokazuje ograniczenie kontroli opartych wyłącznie na reputacji nadawcy, domeny albo podpisu pliku. Ochrona powinna łączyć analizę poczty, pobieranych archiwów, zachowania procesów i ruchu sieciowego.

Warto monitorować zwłaszcza:

  • legalne, podpisane programy uruchamiane z katalogu pobrań lub rozpakowanego archiwum, które ładują nieznaną albo niepodpisaną bibliotekę DLL z tego samego miejsca;
  • nietypowe żądania podniesienia uprawnień po uruchomieniu pliku pobranego z przeglądarki;
  • tworzenie nowych usług o nazwach podobnych do składników Windows, ale wskazujących na nieoczekiwany katalog;
  • pobieranie obrazu lub innego pliku, po którym następuje aktywność wykonywalna niewspółmierna do jego typu;
  • wstrzykiwanie kodu do svchost.exe i uruchamianie nietypowych procesów potomnych;
  • niezależne połączenia wychodzące z jednego hosta, które mogą odpowiadać więcej niż jednemu implantowi;
  • tę samą wiadomość, domenę albo archiwum w innych skrzynkach i na innych urządzeniach.

Po wykryciu jednego implantu nie należy zakładać, że incydent został zamknięty. Opisany przypadek celowo utrzymywał dwa kanały dostępu, dlatego zakres analizy musi obejmować cały łańcuch i wszystkie aktywne sesje użytkowników.

Co zrobić, jeśli to już się stało

Reakcja zależy od etapu, do którego doszedł użytkownik.

Jeżeli wiadomość została tylko otwarta, a linku nie użyto, należy ją zgłosić wraz z pełnymi nagłówkami. Pozwala to wyszukać kopie w innych skrzynkach i zablokować dalsze dostarczanie.

Jeżeli plik został pobrany, ale nie uruchomiony, nie należy go otwierać ani samodzielnie przesyłać przez przypadkowe serwisy. Trzeba przekazać informację do IT lub SOC i zachować plik zgodnie z procedurą, aby zespół mógł bezpiecznie ustalić jego pochodzenie oraz występowanie w organizacji.

Jeżeli program został uruchomiony albo użytkownik zatwierdził UAC, urządzenie powinno zostać odizolowane od sieci i niezwłocznie przekazane do obsługi incydentu. Nie należy wykonywać na nim dalszej pracy. Samodzielny restart może usunąć część danych przydatnych w analizie pamięci, dlatego dalsze kroki powinny wynikać z instrukcji zespołu reagowania.

Z czystego urządzenia trzeba zabezpieczyć konta, które mogły być używane na zainfekowanym komputerze. Zmiana haseł i unieważnienie sesji powinny być skoordynowane z ograniczeniem dostępu napastnika, analizą telemetrii EDR, sprawdzeniem ruchu sieciowego oraz poszukiwaniem podobnych zdarzeń na innych hostach.

Jak ćwiczyć taki scenariusz bez używania malware

Program security awareness może odtwarzać momenty decyzyjne bez dostarczania złośliwego kodu. Symulacja może obejmować wiadomość o pilnym piśmie podatkowym, ekran pozornej weryfikacji, próbę pobrania neutralnego pliku i kontrolowany komunikat przypominający żądanie uruchomienia.

W takim ćwiczeniu warto mierzyć nie tylko kliknięcie. Lepsze dane daje ustalenie, ilu uczestników pobrało plik, ilu próbowało go uruchomić, ilu zatrzymało się przed zatwierdzeniem uprawnień, ilu samodzielnie zweryfikowało pismo i jak szybko wiadomość została zgłoszona.

Testy phishingowe dla firm powinny być połączone z procedurą techniczną. Zgłoszenie użytkownika musi prowadzić do realnego procesu: wyszukania wiadomości, analizy linku i pliku, blokady, oceny urządzenia oraz informacji zwrotnej. Sam wskaźnik kliknięć nie sprawdzi, czy organizacja umie zatrzymać wieloetapowy incydent.

Wniosek

Fałszywy urząd skarbowy może być początkiem pełnej infekcji stacji roboczej, a nie tylko próbą wyłudzenia danych. W analizowanym przypadku zaufanie budowały kolejno: autorytet urzędu, pozorna kontrola Microsoftu, podpisany program i procesy systemowe. Każdy z tych elementów wyglądał wiarygodnie osobno, lecz cały ciąg prowadził do dwóch niezależnych narzędzi zdalnego dostępu.

Organizacja powinna przygotować użytkownika do przerwania procesu oraz zespół techniczny do wykrywania zachowania po uruchomieniu pliku. W sprawach podatkowych bezpiecznym punktem odniesienia jest samodzielnie otwarta usługa i oficjalny kanał KAS, nie ścieżka wskazana w wiadomości.

Jeżeli chcesz przećwiczyć podobny scenariusz z księgowością, finansami lub biurem rachunkowym i sprawdzić także reakcję po zgłoszeniu, skontaktuj się z PHISHLY.

Najczęstsze pytania

Czy urząd skarbowy wysyła programy do pobrania i uruchomienia?

Nie należy instalować programu ani otwierać archiwum na podstawie linku z nieoczekiwanej wiadomości. Autentyczność pisma trzeba potwierdzić po samodzielnym wejściu do oficjalnej usługi lub przez infolinię KAS.

Czy podpis cyfrowy pliku oznacza, że cały pakiet jest bezpieczny?

Nie. Podpis może potwierdzać pochodzenie jednego legalnego pliku, ale nie gwarantuje bezpieczeństwa dołączonej biblioteki DLL, archiwum ani całego procesu uruchomienia.

Co zrobić po uruchomieniu pliku z fałszywego pisma podatkowego?

Należy odizolować urządzenie od sieci, niezwłocznie zgłosić zdarzenie do IT lub SOC i zachować wiadomość oraz pliki do analizy. Hasła i sesje powinny być zabezpieczane z czystego urządzenia zgodnie z procedurą reagowania.

Co powinien wykrywać SOC w takim scenariuszu?

Między innymi podpisany program ładujący nieznaną bibliotekę DLL z katalogu pobrań, nietypowe żądanie UAC, utworzenie nowej usługi, wstrzykiwanie kodu do svchost.exe i niezależne połączenia wychodzące z jednego hosta.

Źródła

  1. Cyderes Howler Cell — The Tax Trap: From Fake Indian ITR Notice to Dual RAT Deployment in Six StagesPierwotna analiza kampanii, sześciostopniowego łańcucha infekcji, DLL side-loadingu i dwóch implantów RAT.
  2. Krajowa Administracja Skarbowa — Uwaga na fałszywe e-maileAktualne polskie ostrzeżenie przed wiadomościami podszywającymi się pod KAS i Ministerstwo Finansów, które mogą prowadzić do infekcji malware.
  3. Krajowa Administracja Skarbowa — Oszuści żądają potwierdzenia danych podatkowychPolski przykład presji związanej z danymi podatkowymi oraz zalecenie niezależnego potwierdzania wiadomości przez oficjalne kanały KAS.
  4. MITRE ATT&CK — DLL Side-Loading, T1574.001Opis techniki uruchamiania złośliwej biblioteki przez legalną aplikację.
  5. MITRE ATT&CK — Process Injection, T1055Opis uruchamiania kodu w przestrzeni innego procesu w celu utrudnienia wykrycia.
  6. CERT Polska — Zgłoś incydentOficjalny kanał zgłaszania podejrzanych wiadomości e-mail i incydentów do CERT Polska.