Multi-License Discount Quote
Βάση δεδομένων απειλών Stealers Κακόβουλο λογισμικό HackBrowserData Infostealer

Κακόβουλο λογισμικό HackBrowserData Infostealer

Μέχρι το Mezo το Stealers
Μετάφραση σε:
Ελληνικά

Άγνωστοι φορείς απειλών έχουν στρέψει την προσοχή τους σε κυβερνητικές οντότητες και εταιρείες ενέργειας της Ινδίας, χρησιμοποιώντας μια τροποποιημένη παραλλαγή ενός κακόβουλου λογισμικού ανοιχτού κώδικα που κλέβει πληροφορίες που ονομάζεται HackBrowserData. Ο στόχος τους περιλαμβάνει την εξαγωγή ευαίσθητων δεδομένων, με το Slack ως μηχανισμό Command-and-Control (C2) σε ορισμένες περιπτώσεις. Το κακόβουλο λογισμικό διαδόθηκε μέσω ηλεκτρονικών μηνυμάτων ηλεκτρονικού "ψαρέματος" (phishing), καμουφλαρισμένα ως επιστολές πρόσκλησης που υποτίθεται ότι προέρχονταν από την ινδική Πολεμική Αεροπορία.

Κατά την εκτέλεση, ο εισβολέας χρησιμοποίησε τα κανάλια Slack ως αγωγούς για την εξερεύνηση διαφόρων μορφών ευαίσθητων πληροφοριών, συμπεριλαμβανομένων εμπιστευτικών εσωτερικών εγγράφων, ιδιωτικών αλληλογραφιών ηλεκτρονικού ταχυδρομείου και αποθηκευμένων δεδομένων προγράμματος περιήγησης Ιστού. Αυτή η τεκμηριωμένη εκστρατεία εκτιμάται ότι ξεκίνησε στις αρχές Μαρτίου 2024.

Οι εγκληματίες του κυβερνοχώρου στοχεύουν σε σημαντικές κυβερνητικές και ιδιωτικές οντότητες

Το εύρος της επιβλαβούς δραστηριότητας εκτείνεται σε πολλές κυβερνητικές οντότητες στην Ινδία, καλύπτοντας τομείς όπως οι ηλεκτρονικές επικοινωνίες, η διακυβέρνηση πληροφορικής και η εθνική άμυνα.

Σύμφωνα με πληροφορίες, ο παράγοντας της απειλής έχει ουσιαστικά παραβιάσει ιδιωτικές εταιρείες ενέργειας, εξάγοντας οικονομικά έγγραφα, προσωπικά στοιχεία εργαζομένων και λεπτομέρειες σχετικά με τις εργασίες γεώτρησης πετρελαίου και φυσικού αερίου. Ο συνολικός όγκος των δεδομένων που έχουν εξαχθεί σε όλη την καμπάνια ανέρχεται σε περίπου 8,81 gigabyte.

Αλυσίδα μόλυνσης που αναπτύσσει ένα τροποποιημένο κακόβουλο λογισμικό HackBrowserData

Η ακολουθία επίθεσης ξεκινά με ένα μήνυμα phishing που περιέχει ένα αρχείο ISO με το όνομα "invite.iso". Μέσα σε αυτό το αρχείο βρίσκεται μια συντόμευση των Windows (LNK) που ενεργοποιεί την εκτέλεση ενός κρυφού δυαδικού αρχείου ('scholar.exe') που βρίσκεται εντός της προσαρτημένης εικόνας οπτικού δίσκου.

Ταυτόχρονα, ένα παραπλανητικό αρχείο PDF που παρουσιάζεται ως επιστολή πρόσκλησης από την Ινδική Πολεμική Αεροπορία παρουσιάζεται στο θύμα. Ταυτόχρονα, στο παρασκήνιο, το κακόβουλο λογισμικό συλλέγει διακριτικά έγγραφα και αποθηκευμένα δεδομένα προγράμματος περιήγησης ιστού, μεταδίδοντάς τα σε ένα κανάλι Slack υπό τον έλεγχο του παράγοντα απειλής, που ονομάζεται FlightNight.

Αυτό το κακόβουλο λογισμικό αντιπροσωπεύει μια τροποποιημένη επανάληψη του HackBrowserData, που επεκτείνεται πέρα από τις αρχικές λειτουργίες κλοπής δεδομένων του προγράμματος περιήγησης για να συμπεριλάβει τη δυνατότητα εξαγωγής εγγράφων (όπως αυτά στο Microsoft Office, αρχείων PDF και αρχείων βάσης δεδομένων SQL), επικοινωνίας μέσω Slack και χρησιμοποίησης τεχνικών συσκότισης για ενισχυμένη αποφυγή της ανίχνευσης.

Υπάρχει υποψία ότι ο ηθοποιός απειλής απέκτησε το PDF-δόλωμα κατά τη διάρκεια μιας προηγούμενης εισβολής, με παραλληλισμούς συμπεριφοράς που εντοπίζονται σε μια εκστρατεία phishing που στοχεύει την ινδική Πολεμική Αεροπορία χρησιμοποιώντας έναν κλέφτη με βάση το Go γνωστό ως GoStealer.

Προηγούμενες καμπάνιες κακόβουλου λογισμικού που χρησιμοποιούν παρόμοιες τακτικές μόλυνσης

Η διαδικασία μόλυνσης από το GoStealer αντικατοπτρίζει στενά αυτή του FlightNight, χρησιμοποιώντας τακτικές δελεασμού που επικεντρώνονται σε θέματα προμηθειών (π.χ. «SU-30 Aircraft Procurement.iso») για να αποσπά την προσοχή των θυμάτων με ένα αρχείο δόλωμα. Ταυτόχρονα, το ωφέλιμο φορτίο του κλέφτη λειτουργεί στο παρασκήνιο, διεισδύοντας στοχευμένες πληροφορίες μέσω του Slack.

Χρησιμοποιώντας άμεσα διαθέσιμα επιθετικά εργαλεία και αξιοποιώντας νόμιμες πλατφόρμες όπως το Slack, που απαντώνται συνήθως σε εταιρικά περιβάλλοντα, οι φορείς απειλών μπορούν να εξορθολογίσουν τις δραστηριότητές τους, μειώνοντας τόσο χρόνο όσο και δαπάνες ανάπτυξης, διατηρώντας παράλληλα χαμηλό προφίλ.

Αυτά τα κέρδη αποτελεσματικότητας καθιστούν ολοένα και πιο απλή την εκτόξευση στοχευμένων επιθέσεων, επιτρέποντας ακόμη και σε λιγότερο έμπειρους εγκληματίες στον κυβερνοχώρο να προκαλέσουν σημαντική βλάβη σε οργανισμούς. Αυτό υπογραμμίζει την εξελισσόμενη φύση των απειλών στον κυβερνοχώρο, όπου οι κακόβουλοι παράγοντες εκμεταλλεύονται ευρέως προσβάσιμα εργαλεία και πλατφόρμες ανοιχτού κώδικα για να επιτύχουν τους στόχους τους με ελάχιστο κίνδυνο εντοπισμού και επένδυσης.

 

Τάσεις

Επέκταση προγράμματος περιήγησης ταπετσαρίας βουνού

Πιθανώς ανεπιθύμητα προγράμματα, Browser Hijackers
Οι ερευνητές της Infosec ανέλυσαν διεξοδικά την επέκταση του προγράμματος περιήγησης Mountain Wallpaper και έκαναν μια ανησυχητική ανακάλυψη. Η υποτιθέμενη χρήσιμη επέκταση βρέθηκε ότι λειτουργεί...

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
38,201
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...