Usos del malware HackBrowserData Infostealer en ataques a entidades indias
Los investigadores han expuesto un nuevo intento de espionaje dirigido a organismos gubernamentales indios y al sector energético del país, empleando una edición modificada de una herramienta de robo de datos de código abierto llamada HackBrowserData. Esta herramienta es capaz de recopilar credenciales de inicio de sesión, cookies e historial de navegación.
Revelada por investigadores de la empresa holandesa de ciberseguridad EclecticIQ a principios de marzo, el origen de la campaña sigue sin identificarse. Sus hallazgos, divulgados el miércoles, revelan que los piratas informáticos desviaron 8,81 GB de datos de los objetivos, lo que potencialmente facilitó nuevas infiltraciones en los sistemas del gobierno indio.
El vector de ataque inicial utiliza archivos PDF
El software malicioso se distribuyó a través de un archivo PDF de phishing disfrazado de carta de invitación de la Fuerza Aérea de la India. Se presume que el PDF original se obtuvo en una infracción anterior y los atacantes lo reutilizaron.
El documento de aspecto inofensivo contenía un acceso directo oculto al malware. Una vez activado, el malware rápidamente comenzó a robar documentos y datos almacenados en caché del navegador, transmitiéndolos a canales de Slack bajo el control de los atacantes, acertadamente llamados "FlightNight".
HackBrowserData busca documentos y bases de datos
El malware fue programado para atacar específicamente ciertos tipos de archivos, como documentos de Microsoft Office, PDF y bases de datos SQL, lo que probablemente acelere el proceso de robo.
Las entidades víctimas incluyeron agencias indias que supervisan las comunicaciones electrónicas, la gobernanza de TI y la defensa nacional, así como empresas privadas de energía, de las cuales se extrajeron documentos financieros, detalles de los empleados e información sobre actividades de perforación de petróleo y gas.
Aunque el grupo responsable de la campaña sigue sin identificarse, las similitudes en el malware y el método de entrega sugieren un vínculo con un ataque anterior en enero, dirigido a funcionarios de la Fuerza Aérea de la India utilizando un malware de robo de credenciales llamado GoStealer.
Ambas campañas parecen ser obra del mismo actor de amenazas, según EclecticIQ. Según los investigadores, estos incidentes subrayan la eficacia de aprovechar herramientas de código abierto para el ciberespionaje.
