HackBrowserData Infostealer Вредоносное ПО
Неизвестные злоумышленники обратили свое внимание на индийские правительственные учреждения и энергетические компании, используя модифицированный вариант вредоносного ПО с открытым исходным кодом, ворующего информацию, получившего название HackBrowserData. Их цель включает в себя утечку конфиденциальных данных с использованием Slack в качестве механизма управления и контроля (C2) в некоторых случаях. Вредоносное ПО распространялось через фишинговые электронные письма, замаскированные под приглашения якобы от ВВС Индии.
После выполнения злоумышленник использовал каналы Slack в качестве каналов для кражи различных форм конфиденциальной информации, включая конфиденциальные внутренние документы, частную переписку по электронной почте и кэшированные данные веб-браузера. Предполагается, что эта задокументированная кампания началась в начале марта 2024 года.
Оглавление
Киберпреступники нацелены на важные государственные и частные предприятия
Масштабы вредоносной деятельности распространяются на многочисленные государственные учреждения Индии, охватывая такие сектора, как электронные коммуникации, управление информационными технологиями и национальная оборона.
Как сообщается, злоумышленник эффективно взломал частные энергетические компании, получив финансовые документы, личную информацию сотрудников и подробности, касающиеся операций по бурению нефти и газа. Общий объем украденных данных за всю кампанию составляет примерно 8,81 гигабайта.
Цепочка заражения путем развертывания модифицированного вредоносного ПО HackBrowserData
Последовательность атак начинается с фишингового сообщения, содержащего ISO-файл с именем «invite.iso». Внутри этого файла находится ярлык Windows (LNK), который активирует выполнение скрытого двоичного файла («scholar.exe»), находящегося в смонтированном образе оптического диска.
Одновременно жертве предоставляется обманный PDF-файл, выдающий себя за письмо-приглашение от ВВС Индии. В то же время в фоновом режиме вредоносная программа незаметно собирает документы и кэшированные данные веб-браузера, передавая их в канал Slack под контролем злоумышленника, получившего обозначение FlightNight.
Это вредоносное ПО представляет собой модифицированную версию HackBrowserData, выходящую за рамки первоначальных функций кражи данных браузера и включающую возможность извлекать документы (например, в Microsoft Office, PDF-файлы и файлы базы данных SQL), общаться через Slack и использовать методы обфускации для более эффективного уклонения. обнаружения.
Есть подозрение, что злоумышленник получил ложный PDF-файл во время предыдущего вторжения, при этом поведенческие параллели прослеживаются с фишинговой кампанией, нацеленной на ВВС Индии, с использованием кражи на основе Go, известной как GoStealer.
Предыдущие кампании по распространению вредоносного ПО, использующие аналогичные тактики заражения
Процесс заражения GoStealer во многом повторяет процесс заражения FlightNight, используя тактику заманивания, основанную на темах закупок (например, «SU-30 Aircraft Procurement.iso»), чтобы отвлечь жертв с помощью файла-приманки. В то же время полезная нагрузка воров работает в фоновом режиме, перехватывая целевую информацию через Slack.
Используя легкодоступные наступательные инструменты и законные платформы, такие как Slack, которые обычно встречаются в корпоративных средах, злоумышленники могут оптимизировать свои операции, сокращая время и затраты на разработку, сохраняя при этом сдержанность.
Такое повышение эффективности упрощает проведение целевых атак, позволяя даже менее опытным киберпреступникам причинять значительный вред организациям. Это подчеркивает развивающийся характер киберугроз, когда злоумышленники используют широко доступные инструменты и платформы с открытым исходным кодом для достижения своих целей с минимальным риском обнаружения и инвестиций.
