HackBrowserData Infostealer Malware
Actori necunoscuți ai amenințărilor și-au îndreptat atenția către entitățile guvernamentale indiene și către companiile energetice, folosind o variantă modificată a unui program malware de furt de informații open-source numit HackBrowserData. Obiectivul lor implică exfiltrarea datelor sensibile, cu Slack ca mecanism de comandă și control (C2) în anumite cazuri. Malware-ul a fost răspândit prin e-mailuri de phishing, camuflate ca scrisori de invitație pretins de la Forțele Aeriene Indiene.
La executare, atacatorul a folosit canalele Slack ca canale pentru exfiltrarea diferitelor forme de informații sensibile, inclusiv documente interne confidențiale, corespondențe private de e-mail și date stocate în cache ale browserului web. Se estimează că această campanie documentată a început la începutul lunii martie 2024.
Cuprins
Infractorii cibernetici vizează entități guvernamentale și private importante
Domeniul de aplicare al activității dăunătoare se extinde pe numeroase entități guvernamentale din India, cuprinzând sectoare precum comunicațiile electronice, guvernanța IT și apărarea națională.
Se pare că actorul amenințării a încălcat efectiv companiile private de energie, extragând documente financiare, informații personale ale angajaților și detalii privind operațiunile de foraj de petrol și gaze. Cantitatea totală de date exfiltrate pe parcursul campaniei se ridică la aproximativ 8,81 gigaocteți.
Lanțul de infecție implementează un program malware HackBrowserData modificat
Secvența de atac inițiază cu un mesaj de phishing care conține un fișier ISO numit „invite.iso”. În acest fișier se află o comandă rapidă Windows (LNK) care activează execuția unui fișier binar ascuns („scholar.exe”) care se află în imaginea de disc optic montat.
În același timp, victimei îi este prezentat un fișier PDF înșelător care se prezintă drept o scrisoare de invitație din partea Forțelor Aeriene Indiene. În același timp, în fundal, malware-ul adună discret documente și date cache ale browserului web, transmițându-le către un canal Slack sub controlul actorului de amenințare, denumit FlightNight.
Acest malware reprezintă o iterație modificată a HackBrowserData, extinzându-se dincolo de funcțiile sale inițiale de furt de date din browser, pentru a include capacitatea de a extrage documente (cum ar fi cele din Microsoft Office, fișiere PDF și fișiere de baze de date SQL), de a comunica prin Slack și de a folosi tehnici de ofuscare pentru o evaziune îmbunătățită. de detectare.
Există suspiciunea că actorul amenințării a achiziționat PDF-ul momeală în timpul unei intruziuni anterioare, cu paralele comportamentale urmărite cu o campanie de phishing care vizează Forțele Aeriene Indiene, folosind un furt bazat pe Go cunoscut sub numele de GoStealer.
Campanii anterioare de malware care utilizează tactici similare de infecție
Procesul de infecție GoStealer îl oglindește îndeaproape pe cel al FlightNight, folosind tactici de momeală centrate pe teme de achiziție (de exemplu, „SU-30 Aircraft Procurement.iso”) pentru a distrage atenția victimelor cu un fișier momeală. În același timp, sarcina utilă a furtului funcționează în fundal, exfiltrând informațiile vizate prin Slack.
Utilizând instrumente ofensive ușor disponibile și utilizând platforme legitime precum Slack, întâlnite în mod obișnuit în mediile corporative, actorii amenințărilor își pot eficientiza operațiunile, reducând atât timpul, cât și cheltuielile de dezvoltare, menținând în același timp un profil scăzut.
Aceste câștiguri de eficiență fac din ce în ce mai simplă lansarea de atacuri direcționate, permițând chiar și criminalilor cibernetici mai puțin experimentați să provoace prejudicii semnificative organizațiilor. Acest lucru subliniază natura în evoluție a amenințărilor cibernetice, în care actorii rău intenționați exploatează instrumente și platforme open-source accesibile pe scară largă pentru a-și atinge obiectivele cu un risc minim de detectare și investiție.
