HackBrowserData Infostealer Malware brukes i angrep på indiske enheter

Forskere har avslørt et nytt spionasjeforsøk rettet mot indiske statlige organer og landets energisektor, ved å bruke en modifisert utgave av et åpen kildekode-verktøy for datatyveri kalt HackBrowserData. Dette verktøyet er i stand til å samle inn påloggingsinformasjon, informasjonskapsler og nettleserhistorikk.

Kampanjens opprinnelse ble avduket av forskere fra det nederlandske cybersikkerhetsfirmaet EclecticIQ i begynnelsen av mars, og forblir uidentifisert. Funnene deres, som ble avslørt på onsdag, avslører at hackere sugde av 8,81 GB data fra mål, noe som potensielt muliggjør ytterligere infiltrasjoner i indiske regjeringssystemer.

Initial Attact Vector bruker PDF-filer

Den ondsinnede programvaren ble distribuert gjennom en phishing-PDF-fil som var maskert som et invitasjonsbrev fra det indiske flyvåpenet. Det antas at den originale PDF-filen ble innhentet i et tidligere brudd og gjenbrukt av angriperne.

Det ufarlige dokumentet inneholdt en skjult snarvei til skadelig programvare. Når den var aktivert, begynte skadevaren umiddelbart å stjele dokumenter og bufrede nettleserdata, og overføre dem til Slack-kanaler under kontroll av angriperne, passende kalt "FlightNight."

HackBrowserData går etter dokumenter og databaser

Skadevaren ble programmert til å spesifikt målrette mot visse filtyper, for eksempel Microsoft Office-dokumenter, PDF-er og SQL-databaser, som sannsynligvis vil fremskynde tyveriprosessen.

Ofret entiteter inkluderte indiske byråer som fører tilsyn med elektronisk kommunikasjon, IT-styring og nasjonalt forsvar, så vel som private energifirmaer, hvorfra økonomiske dokumenter, ansattes detaljer og informasjon om olje- og gassboringsaktiviteter ble hentet ut.

Selv om gruppen som er ansvarlig for kampanjen forblir uidentifisert, antyder likhetene i skadelig programvare og leveringsmetode en kobling til et tidligere angrep i januar, som var rettet mot embetsmenn i det indiske luftvåpenet ved å bruke en skadelig programvare som stjeler legitimasjon ved navn GoStealer.

Begge kampanjene ser ut til å være håndverket til den samme trusselaktøren, i henhold til EclecticIQ. Disse hendelsene understreker effektiviteten av å utnytte åpen kildekode-verktøy for cyberspionasje, ifølge forskerne.