Malware HackBrowserData Infostealer
Attori di minacce sconosciuti hanno rivolto la loro attenzione verso enti governativi e società energetiche indiane, impiegando una variante modificata di un malware open source per il furto di informazioni denominato HackBrowserData. Il loro obiettivo prevede l'esfiltrazione di dati sensibili, utilizzando Slack come meccanismo di comando e controllo (C2) in alcuni casi. Il malware è stato diffuso tramite e-mail di phishing, camuffate da lettere di invito presumibilmente provenienti dall'aeronautica indiana.
Dopo l'esecuzione, l'aggressore ha sfruttato i canali Slack come canali per esfiltrare varie forme di informazioni sensibili, inclusi documenti interni riservati, corrispondenza e-mail privata e dati del browser Web memorizzati nella cache. Si stima che questa campagna documentata sia iniziata all’inizio di marzo 2024.
Sommario
I criminali informatici prendono di mira importanti enti governativi e privati
La portata dell’attività dannosa si estende a numerosi enti governativi in India, comprendendo settori come le comunicazioni elettroniche, la governance IT e la difesa nazionale.
Secondo quanto riferito, l’autore della minaccia ha effettivamente violato le società energetiche private, estraendo documenti finanziari, informazioni personali sui dipendenti e dettagli relativi alle operazioni di trivellazione di petrolio e gas. La quantità totale di dati esfiltrati durante la campagna ammonta a circa 8,81 gigabyte.
Catena di infezione che distribuisce un malware HackBrowserData modificato
La sequenza di attacco inizia con un messaggio di phishing contenente un file ISO denominato "invite.iso". All'interno di questo file si trova un collegamento Windows (LNK) che attiva l'esecuzione di un file binario nascosto ('scholar.exe') che risiede all'interno dell'immagine del disco ottico montato.
Allo stesso tempo, alla vittima viene presentato un file PDF ingannevole che si spaccia per una lettera di invito dell'aeronautica militare indiana. Allo stesso tempo, in background, il malware raccoglie in modo discreto documenti e dati memorizzati nella cache del browser Web, trasmettendoli a un canale Slack sotto il controllo dell'autore della minaccia, denominato FlightNight.
Questo malware rappresenta un'iterazione modificata di HackBrowserData, che si estende oltre le sue funzioni iniziali di furto di dati del browser per includere la capacità di estrarre documenti (come quelli in Microsoft Office, PDF e file di database SQL), comunicare tramite Slack e utilizzare tecniche di offuscamento per una migliore evasione di rilevamento.
C'è il sospetto che l'autore della minaccia abbia acquisito il PDF esca durante un'intrusione precedente, con parallelismi comportamentali tracciati con una campagna di phishing mirata all'aeronautica militare indiana utilizzando un ladro basato su Go noto come GoStealer.
Precedenti campagne malware che utilizzano tattiche di infezione simili
Il processo di infezione di GoStealer rispecchia da vicino quello di FlightNight, impiegando tattiche di esca incentrate su temi di approvvigionamento (ad esempio, "SU-30 Aircraft Procurement.iso") per distrarre le vittime con un file esca. Allo stesso tempo, il payload dello stealer opera in background, esfiltrando informazioni mirate tramite Slack.
Utilizzando strumenti offensivi prontamente disponibili e sfruttando piattaforme legittime come Slack, comunemente presenti negli ambienti aziendali, gli autori delle minacce possono semplificare le proprie operazioni, riducendo sia i tempi che le spese di sviluppo mantenendo un basso profilo.
Questi miglioramenti in termini di efficienza rendono sempre più semplice lanciare attacchi mirati, consentendo anche ai criminali informatici meno esperti di causare danni significativi alle organizzazioni. Ciò sottolinea la natura in evoluzione delle minacce informatiche, in cui gli autori malintenzionati sfruttano strumenti e piattaforme open source ampiamente accessibili per raggiungere i propri obiettivi con un rischio minimo di rilevamento e investimento.
