HackBrowserData Infostealer Malware bruges i angreb på indiske enheder

Forskere har afsløret et nyt spionageforsøg rettet mod indiske regeringsorganer og nationens energisektor ved at anvende en modificeret udgave af et open source-datatyveriværktøj ved navn HackBrowserData. Dette værktøj er i stand til at indsamle loginoplysninger, cookies og browserhistorik.

Kampagnens oprindelse, som blev afsløret af forskere fra det hollandske cybersikkerhedsfirma EclecticIQ i begyndelsen af marts, forbliver uidentificeret. Deres resultater, der blev afsløret onsdag, afslører, at hackere sugede 8,81 GB data fra mål, hvilket potentielt letter yderligere infiltrationer i indiske regeringssystemer.

Initial Attact Vector bruger PDF-filer

Den ondsindede software blev distribueret gennem en phishing-PDF-fil, der var maskeret som et invitationsbrev fra det indiske luftvåben. Det formodes, at den originale PDF blev anskaffet i et tidligere brud og genbrugt af angriberne.

Det uskyldigt udseende dokument indeholdt en skjult genvej til malwaren. Når den først var aktiveret, begyndte malwaren omgående at stjæle dokumenter og cachelagrede browserdata og sende dem til Slack-kanaler under kontrol af angriberne, passende navngivet "FlightNight".

HackBrowserData går efter dokumenter og databaser

Malwaren var programmeret til specifikt at målrette mod bestemte filtyper, såsom Microsoft Office-dokumenter, PDF'er og SQL-databaser, hvilket sandsynligvis vil fremskynde tyveriprocessen.

Ofre enheder omfattede indiske agenturer, der fører tilsyn med elektronisk kommunikation, IT-styring og nationalt forsvar, såvel som private energiselskaber, hvorfra finansielle dokumenter, medarbejderoplysninger og oplysninger om olie- og gasboringsaktiviteter blev udtrukket.

Selvom den gruppe, der er ansvarlig for kampagnen, forbliver uidentificeret, tyder lighederne i malware og leveringsmetode på et link til et tidligere angreb i januar, som var rettet mod embedsmænd fra det indiske luftvåben, der brugte en legitimationsstjælende malware ved navn GoStealer.

Begge kampagner ser ud til at være håndværket af den samme trusselsaktør, ifølge EclecticIQ. Disse hændelser understreger effektiviteten af at udnytte open source-værktøjer til cyberspionage, ifølge forskerne.