HackBrowserData Infostealer Malware gebruikt bij aanvallen op Indiase entiteiten

Onderzoekers hebben een nieuwe spionagepoging blootgelegd, gericht tegen Indiase overheidsinstanties en de energiesector van het land, waarbij gebruik wordt gemaakt van een aangepaste versie van een open-source tool voor het stelen van gegevens, genaamd HackBrowserData. Deze tool kan inloggegevens, cookies en browsegeschiedenis verzamelen.

De oorsprong van de campagne, die begin maart werd onthuld door onderzoekers van het Nederlandse cyberbeveiligingsbedrijf EclecticIQ, blijft onbekend. Uit hun bevindingen, die woensdag werden bekendgemaakt, blijkt dat hackers 8,81 GB aan gegevens van doelwitten hebben weggesluisd, wat mogelijk verdere infiltraties in Indiase overheidssystemen mogelijk maakt.

Initial Attact Vector maakt gebruik van PDF-bestanden

De schadelijke software werd verspreid via een phishing-pdf-bestand dat zich voordeed als een uitnodigingsbrief van de Indiase luchtmacht. Er wordt aangenomen dat de originele PDF bij een eerdere inbreuk is verkregen en door de aanvallers opnieuw is gebruikt.

Het onschadelijk ogende document bevatte een verborgen snelkoppeling naar de malware. Eenmaal geactiveerd, begon de malware onmiddellijk documenten te stelen en browsergegevens in de cache op te slaan, en deze door te sturen naar Slack-kanalen onder controle van de aanvallers, toepasselijk genaamd 'FlightNight'.

HackBrowserData gaat achter documenten en databases aan

De malware was geprogrammeerd om zich specifiek te richten op bepaalde bestandstypen, zoals Microsoft Office-documenten, pdf's en SQL-databases, waardoor het diefstalproces waarschijnlijk wordt versneld.

Tot de slachtoffers behoorden onder meer Indiase instanties die toezicht hielden op elektronische communicatie, IT-beheer en nationale defensie, maar ook particuliere energiebedrijven, waaruit financiële documenten, personeelsgegevens en informatie over olie- en gasbooractiviteiten werden gehaald.

Hoewel de groep die verantwoordelijk is voor de campagne nog steeds niet geïdentificeerd is, suggereren de overeenkomsten in de malware en de leveringsmethode een verband met een eerdere aanval in januari, waarbij functionarissen van de Indiase luchtmacht waren getarget met behulp van een inloggegevens stelende malware genaamd GoStealer.

Beide campagnes lijken het handwerk te zijn van dezelfde dreigingsacteur, aldus EclecticIQ. Deze incidenten onderstrepen volgens de onderzoekers de effectiviteit van het gebruik van open source-tools voor cyberspionage.