Шкідлива програма HackBrowserData Infostealer
Невідомі зловмисники звернули свою увагу на індійські державні установи та енергетичні компанії, використовуючи модифікований варіант шкідливого програмного забезпечення з відкритим кодом для крадіжки інформації під назвою HackBrowserData. Їхня мета полягає у викраденні конфіденційних даних, у деяких випадках із Slack як механізмом командування та контролю (C2). Зловмисне програмне забезпечення поширювалося через фішингові електронні листи, закамуфльовані під листи-запрошення, нібито від ВПС Індії.
Після виконання зловмисник використовував канали Slack як канали для викрадання різних форм конфіденційної інформації, включаючи конфіденційні внутрішні документи, приватне листування електронною поштою та кешовані дані веб-браузера. За оцінками, ця задокументована кампанія почалася на початку березня 2024 року.
Зміст
Кіберзлочинці націлені на важливі державні та приватні організації
Сфера шкідливої діяльності поширюється на численні державні установи в Індії, охоплюючи такі сектори, як електронні комунікації, управління ІТ та національна оборона.
Як повідомляється, зловмисник фактично зламав приватні енергетичні компанії, витягнувши фінансові документи, особисту інформацію співробітників і деталі щодо операцій з буріння нафти і газу. Загальний обсяг викрадених даних протягом кампанії становить приблизно 8,81 гігабайт.
Ланцюжок зараження Розгортання модифікованого шкідливого програмного забезпечення HackBrowserData
Послідовність атаки починається з фішингового повідомлення, що містить файл ISO під назвою "invite.iso". У цьому файлі міститься ярлик Windows (LNK), який активує виконання прихованого двійкового файлу ('scholar.exe'), що міститься в підключеному образі оптичного диска.
Одночасно жертві показують оманливий PDF-файл, виданий за лист-запрошення від ВПС Індії. У той же час у фоновому режимі зловмисне програмне забезпечення непомітно збирає документи та кешовані дані веб-браузера, передаючи їх на канал Slack під контролем загрозливого актора під назвою FlightNight.
Це зловмисне програмне забезпечення представляє модифіковану ітерацію HackBrowserData, що виходить за межі початкових функцій крадіжки даних браузера, включаючи можливість витягувати документи (наприклад, у Microsoft Office, PDF-файли та файли бази даних SQL), спілкуватися через Slack і використовувати методи обфускації для покращеного уникнення. виявлення.
Існує підозра, що загрозливий актор отримав PDF-приманку під час попереднього вторгнення, а поведінкові паралелі простежуються до фішингової кампанії, націленої на ВВС Індії за допомогою викрадача на основі Go, відомого як GoStealer.
Попередні кампанії зловмисного програмного забезпечення з використанням подібних тактик зараження
Процес зараження GoStealer схожий на процес FlightNight, використовуючи тактику спокуси, зосереджену навколо тем закупівлі (наприклад, «SU-30 Aircraft Procurement.iso»), щоб відвернути увагу жертв за допомогою файлу-приманки. У той же час корисне навантаження викрадача працює у фоновому режимі, вилучаючи цільову інформацію через Slack.
Використовуючи доступні наступальні інструменти та законні платформи, такі як Slack, які зазвичай зустрічаються в корпоративному середовищі, суб’єкти загрози можуть оптимізувати свої операції, скоротивши час і витрати на розробку, зберігаючи при цьому невідомість.
Ці підвищення ефективності спрощують здійснення цілеспрямованих атак, навіть дозволяючи менш досвідченим кіберзлочинцям завдавати значної шкоди організаціям. Це підкреслює еволюцію кіберзагроз, коли зловмисники використовують широкодоступні інструменти та платформи з відкритим кодом для досягнення своїх цілей з мінімальним ризиком виявлення та інвестицій.
