HackBrowserData Infostealer Malware
Ukendte trusselsaktører har rettet deres opmærksomhed mod indiske regeringsenheder og energiselskaber ved at anvende en modificeret variant af en open source-informationsstjælende malware kaldet HackBrowserData. Deres mål involverer at eksfiltrere følsomme data, med Slack som en Command-and-Control (C2) mekanisme i visse tilfælde. Malwaren blev spredt gennem phishing-e-mails, kamufleret som invitationsbreve angiveligt fra det indiske luftvåben.
Ved henrettelse udnyttede angriberen Slack-kanaler som kanaler til at eksfiltrere forskellige former for følsom information, herunder fortrolige interne dokumenter, private e-mail-korrespondancer og cachelagrede webbrowserdata. Denne dokumenterede kampagne anslås at være startet i begyndelsen af marts 2024.
Indholdsfortegnelse
Cyberkriminelle målretter mod vigtige offentlige og private enheder
Omfanget af den skadelige aktivitet strækker sig over adskillige offentlige enheder i Indien og omfatter sektorer som elektronisk kommunikation, it-forvaltning og nationalt forsvar.
Efter sigende har trusselsaktøren effektivt krænket private energiselskaber ved at udtrække finansielle dokumenter, ansattes personlige oplysninger og detaljer vedrørende olie- og gasboringsoperationer. Den samlede mængde af eksfiltrerede data i hele kampagnen beløber sig til cirka 8,81 gigabyte.
Infektionskæde implementering af en modificeret HackBrowserData-malware
Angrebssekvensen starter med en phishing-meddelelse, der indeholder en ISO-fil med navnet 'invite.iso.' Inden i denne fil ligger en Windows-genvej (LNK), der aktiverer udførelsen af en skjult binær fil ('scholar.exe'), der findes i det monterede optiske diskbillede.
Sideløbende præsenteres en vildledende PDF-fil, der udgør et invitationsbrev fra det indiske luftvåben, for offeret. På samme tid, i baggrunden, samler malwaren diskret dokumenter og cachelagrede webbrowserdata og sender dem til en Slack-kanal under kontrol af trusselsaktøren, kaldet FlightNight.
Denne malware repræsenterer en modificeret iteration af HackBrowserData, der strækker sig ud over dens oprindelige browserdatatyverifunktioner til at omfatte evnen til at udtrække dokumenter (såsom dem i Microsoft Office, PDF'er og SQL-databasefiler), kommunikere via Slack og anvende sløringsteknikker til forbedret unddragelse af detektion.
Der er mistanke om, at trusselsaktøren erhvervede lokke-PDF'en under en tidligere indtrængen, med adfærdsmæssige paralleller sporet til en phishing-kampagne rettet mod det indiske luftvåben ved at bruge en Go-baseret tyver kendt som GoStealer.
Tidligere Malware-kampagner, der bruger lignende infektionstaktikker
GoStealer-infektionsprocessen afspejler tæt FlightNight-processen, der anvender lokketaktik centreret omkring indkøbstemaer (f.eks. 'SU-30 Aircraft Procurement.iso') for at distrahere ofrene med en lokkefil. Samtidig opererer tyverens nyttelast i baggrunden og eksfiltrerer målrettet information via Slack.
Ved at bruge let tilgængelige offensive værktøjer og udnytte legitime platforme som Slack, der almindeligvis findes i virksomhedsmiljøer, kan trusselsaktører strømline deres operationer, reducere både tids- og udviklingsomkostninger og samtidig bevare en lav profil.
Disse effektivitetsgevinster gør det stadig nemmere at iværksætte målrettede angreb, og det gør det endda muligt for mindre erfarne cyberkriminelle at forårsage betydelig skade på organisationer. Dette understreger den udviklende karakter af cybertrusler, hvor ondsindede aktører udnytter bredt tilgængelige open source-værktøjer og -platforme til at nå deres mål med minimal risiko for opdagelse og investering.
