HackBrowserData Infostealer-malware
Onbekende dreigingsactoren hebben hun aandacht gericht op Indiase overheidsinstanties en energiebedrijven, waarbij ze gebruik maken van een aangepaste variant van een open-source informatiestelende malware genaamd HackBrowserData. Hun doel is het exfiltreren van gevoelige gegevens, waarbij Slack in bepaalde gevallen een Command-and-Control (C2)-mechanisme is. De malware werd verspreid via phishing-e-mails, gecamoufleerd als uitnodigingsbrieven, zogenaamd afkomstig van de Indiase luchtmacht.
Bij de uitvoering gebruikte de aanvaller Slack-kanalen als kanalen voor het exfiltreren van verschillende vormen van gevoelige informatie, waaronder vertrouwelijke interne documenten, privé-e-mailcorrespondenties en in de cache opgeslagen webbrowsergegevens. Deze gedocumenteerde campagne is naar schatting begin maart 2024 van start gegaan.
Inhoudsopgave
Cybercriminelen richten zich op belangrijke overheids- en particuliere entiteiten
De omvang van de schadelijke activiteit strekt zich uit over talrijke overheidsinstanties in India en omvat sectoren als elektronische communicatie, IT-beheer en nationale defensie.
Naar verluidt heeft de bedreigingsactoren effectief inbreuk gemaakt op particuliere energiebedrijven, door financiële documenten, persoonlijke gegevens van werknemers en details over olie- en gasboringen te achterhalen. De totale hoeveelheid geëxfiltreerde data gedurende de campagne bedraagt ongeveer 8,81 gigabyte.
Infectieketen die een aangepaste HackBrowserData-malware implementeert
De aanvalsreeks begint met een phishing-bericht dat een ISO-bestand bevat met de naam 'invite.iso'. In dit bestand bevindt zich een Windows-snelkoppeling (LNK) die de uitvoering activeert van een verborgen binair bestand ('scholar.exe') dat zich in de gekoppelde optische schijfimage bevindt.
Tegelijkertijd wordt aan het slachtoffer een misleidend pdf-bestand gepresenteerd dat zich voordoet als een uitnodigingsbrief van de Indiase luchtmacht. Tegelijkertijd verzamelt de malware op de achtergrond discreet documenten en opgeslagen webbrowsergegevens en verzendt deze naar een Slack-kanaal onder controle van de bedreigingsacteur, genaamd FlightNight.
Deze malware vertegenwoordigt een gewijzigde versie van HackBrowserData en gaat verder dan de aanvankelijke functies voor diefstal van browsergegevens en omvat de mogelijkheid om documenten te extraheren (zoals die in Microsoft Office, PDF's en SQL-databasebestanden), te communiceren via Slack en verduisteringstechnieken toe te passen voor een betere ontduiking. van detectie.
Er bestaat een vermoeden dat de bedreigingsacteur de lok-PDF heeft verkregen tijdens een eerdere inbraak, waarbij gedragsparallellen zijn terug te voeren op een phishing-campagne gericht op de Indiase luchtmacht met behulp van een op Go gebaseerde stealer die bekend staat als GoStealer.
Eerdere malwarecampagnes die gebruik maakten van vergelijkbare infectietactieken
Het GoStealer-infectieproces komt nauw overeen met dat van FlightNight, waarbij gebruik wordt gemaakt van loktactieken rond aanschafthema's (bijvoorbeeld 'SU-30 Aircraft Procurement.iso') om slachtoffers af te leiden met een lokbestand. Tegelijkertijd werkt de stealer-payload op de achtergrond en exfiltreert gerichte informatie via Slack.
Door direct beschikbare offensieve tools te gebruiken en gebruik te maken van legitieme platforms zoals Slack, die veel voorkomen in bedrijfsomgevingen, kunnen bedreigingsactoren hun activiteiten stroomlijnen, waardoor zowel de tijd als de ontwikkelingskosten worden verminderd en tegelijkertijd een laag profiel behouden blijft.
Deze efficiëntiewinsten maken het steeds eenvoudiger om gerichte aanvallen uit te voeren, waardoor minder ervaren cybercriminelen zelfs aanzienlijke schade aan organisaties kunnen toebrengen. Dit onderstreept de evoluerende aard van cyberdreigingen, waarbij kwaadwillende actoren breed toegankelijke open source-tools en -platforms exploiteren om hun doelen te bereiken met een minimaal risico op detectie en investeringen.
