A HackBrowserData Infostealer rosszindulatú programokat használ indiai entitások elleni támadásokban

A kutatók egy újabb kémkedési kísérletet tártak fel az indiai kormányzati szervek és az ország energiaszektora ellen, a HackBrowserData nevű nyílt forráskódú adatlopó eszköz módosított kiadásával. Ez az eszköz képes bejelentkezési hitelesítő adatok, cookie-k és böngészési előzmények gyűjtésére.

A holland EclecticIQ kiberbiztonsági cég kutatói március elején leplezték le a kampány eredetét továbbra sem azonosították. A szerdán nyilvánosságra hozott eredményeik azt mutatják, hogy a hackerek 8,81 GB adatot szippantottak el a célpontoktól, ami potenciálisan elősegítette az indiai kormányzati rendszerekbe való további behatolást.

Az Initial Attact Vector PDF fájlokat használ

A rosszindulatú szoftvert egy adathalász PDF-fájlon keresztül terjesztették, amelyet az Indiai Légierő meghívólevelének álcáztak. Feltételezhető, hogy az eredeti PDF-fájlt egy korábbi jogsértés során szerezték be, és a támadók újra felhasználták.

Az ártalmatlannak tűnő dokumentum rejtett parancsikont tartalmazott a rosszindulatú programhoz. Aktiválása után a rosszindulatú program azonnal elkezdte ellopni a dokumentumokat és a gyorsítótárban tárolt böngészőadatokat, és továbbította azokat a támadók irányítása alatt álló Slack csatornákra, amelyeket találóan "FlightNight"-nak neveztek el.

A HackBrowserData a dokumentumok és adatbázisok után megy

A kártevőt úgy programozták, hogy bizonyos fájltípusokat, például Microsoft Office dokumentumokat, PDF-eket és SQL-adatbázisokat célozzon meg, valószínűleg felgyorsítva a lopási folyamatot.

Az áldozatok közé tartoztak az elektronikus kommunikációt, az IT-irányítást és a honvédelmet felügyelő indiai ügynökségek, valamint magán energiacégek, amelyekből pénzügyi dokumentumokat, alkalmazottak adatait, valamint az olaj- és gázfúrási tevékenységekkel kapcsolatos információkat kinyerték.

Bár a kampányért felelős csoportot továbbra sem azonosították, a rosszindulatú program és a kézbesítési mód hasonlóságai egy korábbi januári támadásra utalnak, amely az Indiai Légierő tisztviselőit célozta a GoStealer nevű, hitelesítő adatokat ellopó kártevővel.

Az EclecticIQ szerint mindkét kampány ugyanannak a fenyegetőzőnek a keze munkája. A kutatók szerint ezek az incidensek alátámasztják a nyílt forráskódú eszközök kiberkémkedésre való kiaknázásának hatékonyságát.