HackBrowserData Infostealer Malware

Stealers 年Mezo年

翻譯為：

未知的威脅行為者將注意力轉向印度政府實體和能源公司，他們使用了一種名為 HackBrowserData 的開源資訊竊取惡意軟體的修改變種。他們的目標涉及洩露敏感數據，在某些情況下使用 Slack 作為命令和控制 (C2) 機制。該惡意軟體透過網路釣魚電子郵件傳播，偽裝成據稱來自印度空軍的邀請函。

執行後，攻擊者利用 Slack 通道作為洩露各種形式敏感資訊的管道，包括機密內部文件、私人電子郵件通訊和快取的 Web 瀏覽器資料。這項記錄在案的活動預計於 2024 年 3 月初開始。

有害活動的範圍遍及印度眾多政府實體，涵蓋電子通訊、IT 治理和國防等部門。

據報道，威脅行為者有效地侵入了私人能源公司，提取了財務文件、員工個人資訊以及有關石油和天然氣鑽探作業的詳細資訊。整個活動中洩漏的資料總量約為 8.81 GB。

攻擊序列以包含名為「invite.iso」的 ISO 檔案的網路釣魚訊息啟動。該檔案中包含一個 Windows 捷徑 (LNK)，可啟動駐留在安裝的光碟映像中的隱藏二進位檔案 ('scholar.exe') 的執行。

同時，受害者也會收到一份冒充印度空軍邀請函的欺騙性 PDF 文件。同時，在後台，惡意軟體會謹慎地收集文件和快取的網路瀏覽器數據，並將它們傳輸到威脅行為者（指定為 FlightNight）控制下的 Slack 通道。

該惡意軟體代表了HackBrowserData 的修改版，超出了其最初的瀏覽器資料竊取功能，包括提取文件（例如Microsoft Office、PDF 和SQL 資料庫文件中的文件）、透過Slack 進行通訊以及採用混淆技術來增強規避的能力的檢測。

有人懷疑威脅行為者在先前的入侵中獲取了誘餌 PDF，其行為與利用基於 Go 的名為 GoStealer 的竊取程式針對印度空軍的網路釣魚活動有相似之處。

GoStealer 的感染過程與 FlightNight 的感染過程非常相似，採用以購買主題（例如「SU-30 Aircraft Procurement.iso」）為中心的引誘策略，透過誘餌檔案來分散受害者的注意力。同時，竊取者有效負載在背景運行，透過 Slack 竊取目標資訊。

透過利用現成的攻擊工具並利用企業環境中常見的 Slack 等合法平台，威脅行為者可以簡化其操作，減少時間和開發費用，同時保持低調。

這些效率的提高使得發動有針對性的攻擊變得越來越簡單，甚至使經驗不足的網路犯罪分子能夠對組織造成重大損害。這凸顯了網路威脅不斷演變的性質，惡意行為者利用廣泛可訪問的開源工具和平台，以最小的檢測和投資風險實現其目標。

搜索