HackBrowserData Infostealer-Malware wird bei Angriffen auf indische Unternehmen eingesetzt

Forscher haben einen neuen Spionageversuch aufgedeckt, der sich gegen indische Regierungsbehörden und den Energiesektor des Landes richtete und dabei eine modifizierte Ausgabe eines Open-Source-Datendiebstahl-Tools namens HackBrowserData einsetzte. Dieses Tool ist in der Lage, Anmeldeinformationen, Cookies und den Browserverlauf zu erfassen.

Der Ursprung der Kampagne, die Anfang März von Forschern des niederländischen Cybersicherheitsunternehmens EclecticIQ enthüllt wurde, bleibt unklar. Ihre am Mittwoch veröffentlichten Ergebnisse zeigen, dass Hacker 8,81 GB an Daten von Zielen abgezweigt haben, was möglicherweise weitere Infiltrationen in indische Regierungssysteme erleichtert.

Der Erstangriffsvektor verwendet PDF-Dateien

Die Schadsoftware wurde über eine Phishing-PDF-Datei verbreitet, die als Einladungsschreiben der indischen Luftwaffe getarnt war. Es wird vermutet, dass die ursprüngliche PDF-Datei durch einen früheren Verstoß erlangt und von den Angreifern für andere Zwecke verwendet wurde.

Das harmlos aussehende Dokument enthielt eine versteckte Verknüpfung zur Malware. Nach der Aktivierung begann die Malware umgehend damit, Dokumente und zwischengespeicherte Browserdaten zu stehlen und sie an Slack-Kanäle unter der Kontrolle der Angreifer zu übertragen, die treffend „FlightNight“ genannt wurden.

HackBrowserData hat es auf Dokumente und Datenbanken abgesehen

Die Malware wurde so programmiert, dass sie speziell auf bestimmte Dateitypen abzielt, beispielsweise Microsoft Office-Dokumente, PDFs und SQL-Datenbanken, um den Diebstahlsprozess zu beschleunigen.

Zu den Opfern gehörten indische Behörden, die für die elektronische Kommunikation, die IT-Governance und die Landesverteidigung zuständig sind, sowie private Energieunternehmen, von denen Finanzdokumente, Mitarbeiterdaten und Informationen zu Öl- und Gasbohraktivitäten abgerufen wurden.

Obwohl die für die Kampagne verantwortliche Gruppe weiterhin unbekannt ist, deuten die Ähnlichkeiten in der Malware und der Übermittlungsmethode auf eine Verbindung zu einem früheren Angriff im Januar hin, bei dem Beamte der indischen Luftwaffe mit einer Schadsoftware namens GoStealer zum Diebstahl von Anmeldeinformationen angegriffen wurden.

Laut EclecticIQ scheinen beide Kampagnen das Werk desselben Bedrohungsakteurs zu sein. Diese Vorfälle unterstreichen die Wirksamkeit des Einsatzes von Open-Source-Tools für Cyberspionage, so die Forscher.