Le logiciel malveillant HackBrowserData Infostealer est utilisé dans les attaques contre des entités indiennes

Des chercheurs ont dévoilé une nouvelle tentative d'espionnage dirigée contre les organismes gouvernementaux indiens et le secteur énergétique du pays, en utilisant une édition modifiée d'un outil de vol de données open source nommé HackBrowserData. Cet outil est capable de collecter les informations de connexion, les cookies et l'historique de navigation.

Dévoilée par des chercheurs de la société néerlandaise de cybersécurité EclecticIQ début mars, l'origine de la campagne reste non identifiée. Leurs conclusions, divulguées mercredi, révèlent que les pirates ont siphonné 8,81 Go de données de cibles, facilitant potentiellement de nouvelles infiltrations dans les systèmes du gouvernement indien.

Le vecteur d'attaque initiale utilise des fichiers PDF

Le logiciel malveillant a été distribué via un fichier PDF de phishing se faisant passer pour une lettre d'invitation de l'Indian Air Force. Il est présumé que le PDF original a été obtenu lors d'une violation antérieure et réutilisé par les attaquants.

Le document d’apparence inoffensive contenait un raccourci caché vers le malware. Une fois activé, le malware a rapidement commencé à voler des documents et des données de navigateur mises en cache, les transmettant aux canaux Slack sous le contrôle des attaquants, bien nommés « FlightNight ».

HackBrowserData s'en prend aux documents et aux bases de données

Le logiciel malveillant a été programmé pour cibler spécifiquement certains types de fichiers, tels que les documents Microsoft Office, les PDF et les bases de données SQL, susceptibles d'accélérer le processus de vol.

Les entités victimes comprenaient des agences indiennes supervisant les communications électroniques, la gouvernance informatique et la défense nationale, ainsi que des sociétés énergétiques privées, dont ont été extraits des documents financiers, des informations sur les employés et des informations sur les activités de forage pétrolier et gazier.

Bien que le groupe responsable de la campagne reste non identifié, les similitudes dans le logiciel malveillant et la méthode de diffusion suggèrent un lien avec une précédente attaque en janvier, qui visait des responsables de l'armée de l'air indienne à l'aide d'un logiciel malveillant de vol d'informations d'identification nommé GoStealer.

Les deux campagnes semblent être l’œuvre du même acteur menaçant, selon EclecticIQ. Ces incidents soulignent l’efficacité de l’utilisation d’outils open source pour le cyberespionnage, selon les chercheurs.