HackBrowserData Infostealer Malware
Itinuon ng mga hindi kilalang banta ang kanilang pansin sa mga entidad ng gobyerno ng India at mga kumpanya ng enerhiya, na gumagamit ng binagong variant ng isang open-source na malware sa pagnanakaw ng impormasyon na tinatawag na HackBrowserData. Kasama sa kanilang layunin ang pag-exfiltrate ng sensitibong data, kasama ang Slack bilang mekanismo ng Command-and-Control (C2) sa ilang partikular na pagkakataon. Ang malware ay ipinakalat sa pamamagitan ng mga phishing na email, na na-camouflag bilang mga liham ng imbitasyon na sinasabing mula sa Indian Air Force.
Sa pagpapatupad, ginamit ng attacker ang mga channel ng Slack bilang mga conduit para sa pag-exfiltrate ng iba't ibang anyo ng sensitibong impormasyon, kabilang ang mga kumpidensyal na panloob na dokumento, pribadong email na mga sulat at naka-cache na data ng Web browser. Ang dokumentadong kampanyang ito ay tinatayang nagsimula noong unang bahagi ng Marso 2024.
Talaan ng mga Nilalaman
Tinatarget ng mga Cybercriminal ang Mahahalagang Pamahalaan at Pribadong Entidad
Ang saklaw ng mapaminsalang aktibidad ay umaabot sa maraming entidad ng pamahalaan sa India, na sumasaklaw sa mga sektor gaya ng mga elektronikong komunikasyon, pamamahala sa IT, at pambansang depensa.
Iniulat, epektibong nilabag ng threat actor ang mga pribadong kumpanya ng enerhiya, pagkuha ng mga dokumentong pinansyal, personal na impormasyon ng empleyado, at mga detalye tungkol sa mga operasyon ng pagbabarena ng langis at gas. Ang kabuuang halaga ng na-exfiltrated na data sa buong campaign ay umaabot sa humigit-kumulang 8.81 gigabytes.
Infection Chain na Nagde-deploy ng Binagong HackBrowserData Malware
Nagsisimula ang sequence ng pag-atake sa isang mensahe ng phishing na naglalaman ng isang ISO file na pinangalanang 'invite.iso.' Sa loob ng file na ito ay may Windows shortcut (LNK) na nagpapagana sa pagpapatupad ng isang nakatagong binary file ('scholar.exe') na nasa loob ng naka-mount na optical disk image.
Kasabay nito, ang isang mapanlinlang na PDF file na nagpapanggap bilang isang liham ng paanyaya mula sa Indian Air Force ay ipinakita sa biktima. Kasabay nito, sa background, ang malware ay maingat na nagtitipon ng mga dokumento at naka-cache na data ng web browser, na inililipat ang mga ito sa isang Slack channel sa ilalim ng kontrol ng aktor ng pagbabanta, na itinalagang FlightNight.
Ang malware na ito ay kumakatawan sa isang binagong pag-ulit ng HackBrowserData, na lumalampas sa mga paunang pag-andar ng pagnanakaw ng data ng browser nito upang isama ang kakayahang mag-extract ng mga dokumento (gaya ng mga nasa Microsoft Office, PDF at SQL database file), makipag-usap sa pamamagitan ng Slack, at gumamit ng mga diskarte sa obfuscation para sa pinahusay na pag-iwas. ng pagtuklas.
May hinala na nakuha ng banta ng aktor ang decoy na PDF sa isang naunang panghihimasok, na may mga pagkakatulad sa pag-uugali na natunton sa isang phishing campaign na nagta-target sa Indian Air Force na gumagamit ng Go-based stealer na kilala bilang GoStealer.
Nakaraang Mga Kampanya sa Malware na Gumagamit ng Katulad na Mga Taktika sa Impeksyon
Ang proseso ng impeksyon sa GoStealer ay malapit na sumasalamin sa FlightNight, na gumagamit ng mga taktika sa pag-akit na nakasentro sa mga tema ng pagkuha (hal., 'SU-30 Aircraft Procurement.iso') upang makagambala sa mga biktima gamit ang isang decoy file. Kasabay nito, ang stealer payload ay tumatakbo sa background, na naglalabas ng naka-target na impormasyon sa pamamagitan ng Slack.
Sa pamamagitan ng paggamit ng madaling magagamit na mga nakakasakit na tool at paggamit ng mga lehitimong platform tulad ng Slack, na karaniwang makikita sa mga corporate environment, maaaring i-streamline ng mga threat actor ang kanilang mga operasyon, na binabawasan ang parehong oras at gastos sa development habang pinapanatili ang mababang profile.
Ang mga nadagdag na kahusayan na ito ay ginagawang mas simple ang paglunsad ng mga naka-target na pag-atake, kahit na nagbibigay-daan sa mga hindi gaanong karanasan sa cybercriminal na magdulot ng malaking pinsala sa mga organisasyon. Binibigyang-diin nito ang umuusbong na likas na katangian ng mga banta sa cyber, kung saan sinasamantala ng mga malisyosong aktor ang malawak na naa-access na mga open-source na tool at platform upang makamit ang kanilang mga layunin na may kaunting panganib sa pagtuklas at pamumuhunan.
