HackBrowserData Infostealer Malware
Ukjente trusselaktører har rettet oppmerksomheten mot indiske myndigheter og energiselskaper, ved å bruke en modifisert variant av en åpen kildekode som stjeler informasjon, kalt HackBrowserData. Målet deres innebærer å eksfiltrere sensitive data, med Slack som en Command-and-Control (C2)-mekanisme i visse tilfeller. Skadevaren ble spredt gjennom phishing-e-poster, kamuflert som invitasjonsbrev angivelig fra det indiske flyvåpenet.
Ved henrettelse utnyttet angriperen Slack-kanaler som kanaler for å eksfiltrere ulike former for sensitiv informasjon, inkludert konfidensielle interne dokumenter, private e-postkorrespondanser og bufrede nettleserdata. Denne dokumenterte kampanjen anslås å ha startet tidlig i mars 2024.
Innholdsfortegnelse
Nettkriminelle retter seg mot viktige offentlige og private enheter
Omfanget av den skadelige aktiviteten strekker seg over en rekke statlige enheter i India, og omfatter sektorer som elektronisk kommunikasjon, IT-styring og nasjonalt forsvar.
Etter sigende har trusselaktøren effektivt brutt private energiselskaper, hentet ut økonomiske dokumenter, ansattes personopplysninger og detaljer om olje- og gassboringsoperasjoner. Den totale mengden eksfiltrerte data gjennom kampanjen utgjør omtrent 8,81 gigabyte.
Infeksjonskjede distribuerer en modifisert HackBrowserData-malware
Angrepssekvensen starter med en phishing-melding som inneholder en ISO-fil kalt 'invite.iso.' Innenfor denne filen ligger en Windows-snarvei (LNK) som aktiverer kjøringen av en skjult binær fil ('scholar.exe') som ligger i det monterte optiske diskbildet.
Samtidig presenteres en villedende PDF-fil som utgir seg for å være et invitasjonsbrev fra det indiske luftvåpenet for offeret. Samtidig, i bakgrunnen, samler skadevaren diskret dokumenter og bufrede nettleserdata, og overfører dem til en Slack-kanal under kontroll av trusselaktøren, kalt FlightNight.
Denne skadevaren representerer en modifisert iterasjon av HackBrowserData, som strekker seg utover dens opprinnelige nettleserdatatyverifunksjoner til å inkludere muligheten til å trekke ut dokumenter (som de i Microsoft Office, PDF-er og SQL-databasefiler), kommunisere via Slack og bruke tilsløringsteknikker for forbedret unnvikelse av deteksjon.
Det er mistanke om at trusselaktøren skaffet lokke-PDF-en under et tidligere inntrenging, med adferdsmessige paralleller sporet til en phishing-kampanje rettet mot det indiske flyvåpenet ved å bruke en Go-basert tyver kjent som GoStealer.
Tidligere Malware-kampanjer som bruker lignende infeksjonstaktikker
GoStealer-infeksjonsprosessen gjenspeiler tett den til FlightNight, og bruker lokketaktikker sentrert rundt anskaffelsestemaer (f.eks. 'SU-30 Aircraft Procurement.iso') for å distrahere ofrene med en lokkefil. Samtidig opererer tyverens nyttelast i bakgrunnen, og eksfiltrerer målrettet informasjon via Slack.
Ved å bruke lett tilgjengelige offensive verktøy og utnytte legitime plattformer som Slack, som ofte finnes i bedriftsmiljøer, kan trusselaktører effektivisere driften, redusere både tid og utviklingskostnader samtidig som de opprettholder en lav profil.
Disse effektivitetsgevinstene gjør det stadig enklere å sette i gang målrettede angrep, og til og med gjør det mulig for mindre erfarne nettkriminelle å forårsake betydelig skade på organisasjoner. Dette understreker utviklingen av cybertrusler, der ondsinnede aktører utnytter allment tilgjengelige verktøy og plattformer med åpen kildekode for å nå sine mål med minimal risiko for oppdagelse og investering.
