HackBrowserData Infostealer Malware

通过Mezo在 Stealers

翻译为：

未知的威胁行为者将注意力转向印度政府实体和能源公司，他们使用了一种名为 HackBrowserData 的开源信息窃取恶意软件的修改变种。他们的目标涉及泄露敏感数据，在某些情况下使用 Slack 作为命令和控制 (C2) 机制。该恶意软件通过网络钓鱼电子邮件传播，伪装成据称来自印度空军的邀请函。

执行后，攻击者利用 Slack 通道作为泄露各种形式敏感信息的渠道，包括机密内部文档、私人电子邮件通信和缓存的 Web 浏览器数据。这项记录在案的活动预计于 2024 年 3 月上旬开始。

有害活动的范围遍及印度众多政府实体，涵盖电子通信、IT 治理和国防等部门。

据报道，威胁行为者有效地侵入了私营能源公司，提取了财务文件、员工个人信息以及有关石油和天然气钻探作业的详细信息。整个活动中泄露的数据总量约为 8.81 GB。

攻击序列以包含名为“invite.iso”的 ISO 文件的网络钓鱼消息启动。该文件中包含一个 Windows 快捷方式 (LNK)，它可以激活驻留在安装的光盘映像中的隐藏二进制文件 ('scholar.exe') 的执行。

同时，受害者还会收到一份冒充印度空军邀请函的欺骗性 PDF 文件。与此同时，在后台，恶意软件会谨慎地收集文档和缓存的网络浏览器数据，并将它们传输到威胁行为者（指定为 FlightNight）控制下的 Slack 通道。

该恶意软件代表了 HackBrowserData 的修改版，超出了其最初的浏览器数据盗窃功能，包括提取文档（例如 Microsoft Office、PDF 和 SQL 数据库文件中的文档）、通过 Slack 进行通信以及采用混淆技术来增强规避的能力的检测。

有人怀疑威胁行为者在之前的入侵中获取了诱饵 PDF，其行为与利用基于 Go 的名为 GoStealer 的窃取程序针对印度空军的网络钓鱼活动有相似之处。

GoStealer 感染过程与 FlightNight 非常相似，采用围绕采购主题（例如“SU-30 Aircraft Procurement.iso”）的引诱策略，通过诱饵文件分散受害者的注意力。与此同时，窃取者有效负载在后台运行，通过 Slack 窃取目标信息。

通过利用现成的攻击工具并利用企业环境中常见的 Slack 等合法平台，威胁行为者可以简化其操作，减少时间和开发费用，同时保持低调。

这些效率的提高使得发起有针对性的攻击变得越来越简单，甚至使经验不足的网络犯罪分子能够对组织造成重大损害。这凸显了网络威胁不断演变的性质，恶意行为者利用广泛可访问的开源工具和平台，以最小的检测和投资风险实现其目标。

搜索