بدافزار HackBrowserData Infostealer

عوامل تهدید ناشناخته توجه خود را به سمت نهادهای دولتی و شرکت های انرژی هند معطوف کرده اند و از یک نوع اصلاح شده از بدافزار سرقت اطلاعات منبع باز به نام HackBrowserData استفاده می کنند. هدف آنها شامل استخراج داده های حساس، با Slack به عنوان یک مکانیسم فرمان و کنترل (C2) در موارد خاص است. این بدافزار از طریق ایمیل‌های فیشینگ منتشر شد که به عنوان دعوت‌نامه‌های ظاهراً از طرف نیروی هوایی هند پنهان شده بود.

پس از اجرا، مهاجم از کانال‌های Slack به‌عنوان مجاری برای استخراج اشکال مختلف اطلاعات حساس، از جمله اسناد داخلی محرمانه، مکاتبات ایمیل خصوصی و داده‌های حافظه پنهان مرورگر وب استفاده کرد. تخمین زده می شود که این کمپین مستند در اوایل مارس 2024 آغاز شده باشد.

مجرمان سایبری نهادهای مهم دولتی و خصوصی را هدف قرار می دهند

دامنه فعالیت مضر در سراسر بسیاری از نهادهای دولتی در هند، شامل بخش هایی مانند ارتباطات الکترونیکی، حاکمیت فناوری اطلاعات و دفاع ملی است.

بر اساس گزارش‌ها، عامل تهدید به طور مؤثری شرکت‌های انرژی خصوصی را نقض کرده و اسناد مالی، اطلاعات شخصی کارکنان و جزئیات مربوط به عملیات حفاری نفت و گاز را استخراج کرده است. مقدار کل داده های استخراج شده در طول کمپین تقریباً 8.81 گیگابایت است.

زنجیره عفونت استقرار بدافزار HackBrowserData اصلاح شده

توالی حمله با یک پیام فیشینگ حاوی یک فایل ISO به نام "invite.iso" آغاز می شود. در این فایل یک میانبر ویندوز (LNK) قرار دارد که اجرای یک فایل باینری پنهان ('scholar.exe') را که در تصویر دیسک نوری نصب شده قرار دارد، فعال می کند.

همزمان، یک فایل پی دی اف فریبنده که به عنوان یک دعوت نامه از نیروی هوایی هند به قربانی ارائه می شود. در همان زمان، در پس‌زمینه، بدافزار به طور محتاطانه اسناد و داده‌های حافظه پنهان مرورگر وب را جمع‌آوری می‌کند و آنها را به یک کانال Slack تحت کنترل عامل تهدید، به نام FlightNight، منتقل می‌کند.

این بدافزار یک تکرار اصلاح شده از HackBrowserData را نشان می‌دهد که فراتر از عملکردهای اولیه سرقت داده‌های مرورگر آن است و شامل توانایی استخراج اسناد (مانند اسناد موجود در مایکروسافت آفیس، فایل‌های PDF و فایل‌های پایگاه داده SQL)، برقراری ارتباط از طریق Slack و استفاده از تکنیک‌های مبهم‌سازی برای افزایش فرار است. تشخیص

این ظن وجود دارد که عامل تهدید، پی دی اف فریبنده را طی یک نفوذ قبلی به دست آورده است، با تشابهات رفتاری به یک کمپین فیشینگ که نیروی هوایی هند را هدف قرار می دهد و از یک دزد مبتنی بر Go معروف به GoStealer استفاده می کند.

کمپین های بدافزار قبلی با استفاده از تاکتیک های مشابه عفونت

فرآیند آلودگی GoStealer دقیقاً منعکس کننده روند FlightNight است، و از تاکتیک‌های فریبنده متمرکز بر موضوعات خرید (به عنوان مثال، 'SU-30 Aircraft Procurement.iso') استفاده می‌کند تا حواس قربانیان را با یک فایل فریب منحرف کند. در همان زمان، محموله دزد در پس‌زمینه عمل می‌کند و اطلاعات هدفمند را از طریق Slack استخراج می‌کند.

با استفاده از ابزارهای تهاجمی در دسترس و استفاده از پلتفرم‌های قانونی مانند Slack که معمولاً در محیط‌های شرکتی یافت می‌شود، بازیگران تهدید می‌توانند عملیات خود را ساده‌تر کنند و در عین حال که مشخصات پایینی دارند، هم هزینه‌های زمان و هم توسعه را کاهش دهند.

این دستاوردهای کارآیی، راه اندازی حملات هدفمند را به طور فزاینده ای ساده می کند، حتی به مجرمان سایبری کم تجربه این امکان را می دهد که آسیب قابل توجهی به سازمان ها وارد کنند. این امر بر ماهیت در حال تحول تهدیدات سایبری تاکید می کند، جایی که بازیگران مخرب از ابزارها و پلتفرم های منبع باز بسیار قابل دسترسی برای دستیابی به اهداف خود با حداقل خطر شناسایی و سرمایه گذاری سوء استفاده می کنند.

<p/ style=";text-align:right;direction:rtl">