Il malware HackBrowserData Infostealer viene utilizzato negli attacchi a entità indiane

I ricercatori hanno denunciato un nuovo tentativo di spionaggio diretto agli enti governativi indiani e al settore energetico della nazione, utilizzando un'edizione modificata di uno strumento di furto di dati open source chiamato HackBrowserData. Questo strumento è in grado di raccogliere credenziali di accesso, cookie e cronologia di navigazione.

Svelata dai ricercatori della società olandese di sicurezza informatica EclecticIQ all'inizio di marzo, l'origine della campagna rimane non identificata. I loro risultati, resi pubblici mercoledì, rivelano che gli hacker hanno sottratto 8,81 GB di dati dagli obiettivi, facilitando potenzialmente ulteriori infiltrazioni nei sistemi governativi indiani.

Il vettore di attacco iniziale utilizza file PDF

Il software dannoso è stato distribuito tramite un file PDF di phishing mascherato da lettera di invito dell'aeronautica militare indiana. Si presume che il PDF originale sia stato ottenuto durante una precedente violazione e riutilizzato dagli aggressori.

Il documento dall'aspetto innocuo conteneva un collegamento nascosto al malware. Una volta attivato, il malware ha subito iniziato a rubare documenti e dati del browser memorizzati nella cache, trasmettendoli ai canali Slack sotto il controllo degli aggressori, giustamente chiamati "FlightNight".

HackBrowserData prende di mira documenti e database

Il malware è stato programmato per prendere di mira in modo specifico determinati tipi di file, come documenti Microsoft Office, PDF e database SQL, probabilmente per accelerare il processo di furto.

Tra le entità vittime figurano le agenzie indiane che sovrintendono alle comunicazioni elettroniche, alla governance informatica e alla difesa nazionale, nonché aziende energetiche private, da cui sono stati estratti documenti finanziari, dettagli sui dipendenti e informazioni sulle attività di trivellazione di petrolio e gas.

Sebbene il gruppo responsabile della campagna rimanga non identificato, le somiglianze nel malware e nel metodo di distribuzione suggeriscono un collegamento a un precedente attacco di gennaio, che aveva preso di mira i funzionari dell'aeronautica indiana utilizzando un malware per il furto di credenziali denominato GoStealer.

Entrambe le campagne sembrano essere opera dello stesso autore di minacce, secondo EclecticIQ. Secondo i ricercatori, questi incidenti sottolineano l’efficacia dello sfruttamento di strumenti open source per lo spionaggio informatico.