HackBrowserData Infostealer Malware
Autores de ameaças desconhecidos direcionaram sua atenção para entidades governamentais indianas e empresas de energia, empregando uma variante modificada de um malware de código aberto para roubo de informações chamado HackBrowserData. Seu objetivo envolve a exfiltração de dados confidenciais, com o Slack como um mecanismo de comando e controle (C2) em certos casos. O malware foi disseminado por meio de e-mails de phishing, camuflados como cartas-convite supostamente da Força Aérea Indiana.
Após a execução, o invasor aproveitou os canais do Slack como canais para exfiltrar várias formas de informações confidenciais, incluindo documentos internos confidenciais, correspondências privadas de e-mail e dados armazenados em cache do navegador da Web. Estima-se que esta campanha documentada tenha começado no início de março de 2024.
Índice
Os Cibercriminosos Têm como Alvo Importantes Entidades Governamentais e Privadas
O âmbito da actividade prejudicial estende-se a numerosas entidades governamentais na Índia, abrangendo sectores como as comunicações electrónicas, a governação de TI e a defesa nacional.
Alegadamente, o autor da ameaça violou efetivamente empresas privadas de energia, extraindo documentos financeiros, informações pessoais de funcionários e detalhes relativos a operações de perfuração de petróleo e gás. A quantidade total de dados exfiltrados ao longo da campanha equivale a aproximadamente 8,81 gigabytes.
A Cadeia de Infecção para a Implantação de um HackBrowserData Infostealer Malware Modificado
A sequência de ataque começa com uma mensagem de phishing contendo um arquivo ISO chamado ‘invite.iso’. Dentro deste arquivo encontra-se um atalho do Windows (LNK) que ativa a execução de um arquivo binário oculto ('scholar.exe') residente na imagem do disco óptico montada.
Ao mesmo tempo, um arquivo PDF enganoso que se apresenta como uma carta-convite da Força Aérea Indiana é apresentado à vítima. Ao mesmo tempo, em segundo plano, o malware coleta discretamente documentos e dados armazenados em cache do navegador da Web, transmitindo-os para um canal do Slack sob o controle do agente da ameaça, denominado FlightNight.
Este malware representa uma iteração modificada do HackBrowserData, estendendo-se além das funções iniciais de roubo de dados do navegador para incluir a capacidade de extrair documentos (como aqueles do Microsoft Office, PDFs e arquivos de banco de dados SQL), comunicar-se via Slack e empregar técnicas de ofuscação para maior evasão. de detecção.
Há suspeita de que o ator da ameaça adquiriu o PDF isca durante uma intrusão anterior, com paralelos comportamentais traçados a uma campanha de phishing visando a Força Aérea Indiana, utilizando um ladrão baseado em Go conhecido como GoStealer.
Campanhas de Malware Anteriores Utilizando Táticas de Infecção Semelhantes
O processo de infecção do GoStealer reflete de perto o do FlightNight, empregando táticas de isca centradas em temas de aquisição (por exemplo, 'SU-30 Aircraft Procurement.iso') para distrair as vítimas com um arquivo isca. Ao mesmo tempo, a carga útil do ladrão opera em segundo plano, exfiltrando informações direcionadas por meio do Slack.
Ao utilizar ferramentas ofensivas prontamente disponíveis e aproveitar plataformas legítimas como o Slack, comumente encontradas em ambientes corporativos, os agentes de ameaças podem agilizar suas operações, reduzindo o tempo e as despesas de desenvolvimento, mantendo ao mesmo tempo a discrição.
Estes ganhos de eficiência tornam cada vez mais simples o lançamento de ataques direcionados, permitindo até que cibercriminosos menos experientes causem danos significativos às organizações. Isto sublinha a natureza evolutiva das ameaças cibernéticas, onde os agentes maliciosos exploram ferramentas e plataformas de código aberto amplamente acessíveis para atingir os seus objetivos com risco mínimo de deteção e investimento.
