HackBrowserData Infostealer Malware
Actors d'amenaces desconeguts han dirigit la seva atenció cap a les entitats governamentals de l'Índia i les empreses energètiques, utilitzant una variant modificada d'un programari maliciós de codi obert que roba informació anomenat HackBrowserData. El seu objectiu consisteix a extreure dades sensibles, amb Slack com a mecanisme de comandament i control (C2) en determinats casos. El programari maliciós es va difondre a través de correus electrònics de pesca, camuflats com a cartes d'invitació suposadament de la Força Aèria de l'Índia.
Després de l'execució, l'atacant va aprofitar els canals de Slack com a conductes per extreure diverses formes d'informació sensible, inclosos documents interns confidencials, correspondències de correu electrònic privats i dades del navegador web emmagatzemades a la memòria cau. Es calcula que aquesta campanya documentada va començar a principis de març de 2024.
Taula de continguts
Els ciberdelinqüents es dirigeixen a importants entitats governamentals i privades
L'abast de l'activitat nociva s'estén a nombroses entitats governamentals de l'Índia, i abasta sectors com les comunicacions electròniques, el govern de les TI i la defensa nacional.
Segons s'informa, l'actor de l'amenaça ha infringit de manera efectiva les empreses energètiques privades, extraient documents financers, informació personal dels empleats i detalls sobre les operacions de perforació de petroli i gas. La quantitat total de dades exfiltrades al llarg de la campanya és d'aproximadament 8,81 gigabytes.
Cadena d’infeccions desplegant un programari maliciós HackBrowserData modificat
La seqüència d'atac s'inicia amb un missatge de pesca que conté un fitxer ISO anomenat "invite.iso". Dins d'aquest fitxer hi ha una drecera de Windows (LNK) que activa l'execució d'un fitxer binari ocult ('scholar.exe') que resideix dins de la imatge del disc òptic muntat.
Al mateix temps, es presenta a la víctima un fitxer PDF enganyós que es presenta com una carta d'invitació de la Força Aèria de l'Índia. Al mateix temps, en segon pla, el programari maliciós recopila de manera discreta documents i dades del navegador web en memòria cau, transmetent-los a un canal Slack sota el control de l'actor de l'amenaça, designat FlightNight.
Aquest programari maliciós representa una iteració modificada de HackBrowserData, que s'estén més enllà de les funcions inicials de robatori de dades del navegador per incloure la capacitat d'extreure documents (com els de Microsoft Office, PDF i fitxers de bases de dades SQL), comunicar-se mitjançant Slack i emprar tècniques d'ofuscament per millorar l'evasió. de detecció.
Hi ha la sospita que l'actor de l'amenaça va adquirir el PDF d'engany durant una intrusió prèvia, amb paral·lelismes de comportament relacionats amb una campanya de pesca dirigida a la Força Aèria de l'Índia que utilitzava un lladre basat en Go conegut com GoStealer.
Campanyes de programari maliciós anteriors que utilitzen tàctiques d’infecció similars
El procés d'infecció de GoStealer reflecteix de prop el de FlightNight, utilitzant tàctiques d'esquer centrades en temes d'adquisició (p. ex., 'SU-30 Aircraft Procurement.iso') per distreure les víctimes amb un fitxer señuelo. Al mateix temps, la càrrega útil del robatori funciona en segon pla, exfiltrant informació dirigida a través de Slack.
Utilitzant eines ofensives fàcilment disponibles i aprofitant plataformes legítimes com Slack, que es troben habitualment en entorns corporatius, els actors de les amenaces poden racionalitzar les seves operacions, reduint tant el temps com les despeses de desenvolupament mantenint un perfil baix.
Aquests guanys d'eficiència fan que cada cop sigui més senzill llançar atacs dirigits, fins i tot permetent que els ciberdelinqüents amb menys experiència puguin causar danys importants a les organitzacions. Això subratlla la naturalesa evolutiva de les ciberamenaces, on els actors maliciosos utilitzen eines i plataformes de codi obert àmpliament accessibles per assolir els seus objectius amb un risc mínim de detecció i inversió.
