Złośliwe oprogramowanie HackBrowserData Infostealer wykorzystywane w atakach na podmioty w Indiach

Badacze zdemaskowali nową próbę szpiegostwa skierowaną przeciwko indyjskim organom rządowym i sektorowi energetycznemu, wykorzystując zmodyfikowaną wersję narzędzia do kradzieży danych o otwartym kodzie źródłowym o nazwie HackBrowserData. To narzędzie może gromadzić dane logowania, pliki cookie i historię przeglądania.

Pochodzenie kampanii, ujawnione na początku marca przez badaczy z holenderskiej firmy EclecticIQ zajmującej się cyberbezpieczeństwem, pozostaje nieznane. Z ich ustaleń, ujawnionych w środę, wynika, że hakerzy wykradli z celów 8,81 GB danych, potencjalnie ułatwiając dalsze infiltracje indyjskich systemów rządowych.

Wektor ataku początkowego wykorzystuje pliki PDF

Szkodliwe oprogramowanie było rozpowszechniane za pośrednictwem phishingowego pliku PDF udającego zaproszenie od indyjskich sił powietrznych. Zakłada się, że oryginalny plik PDF został uzyskany w wyniku wcześniejszego naruszenia i ponownie wykorzystany przez osoby atakujące.

Niewinnie wyglądający dokument zawierał ukryty skrót do szkodliwego oprogramowania. Po aktywacji szkodliwe oprogramowanie natychmiast zaczęło kraść dokumenty i buforować dane przeglądarki, przesyłając je do kanałów Slack znajdujących się pod kontrolą osób atakujących, trafnie nazwanych „FlightNight”.

HackBrowserData atakuje dokumenty i bazy danych

Szkodnik został zaprogramowany tak, aby atakować określone typy plików, takie jak dokumenty Microsoft Office, pliki PDF i bazy danych SQL, co prawdopodobnie przyspieszy proces kradzieży.

Wśród ofiar znalazły się indyjskie agencje nadzorujące komunikację elektroniczną, zarządzanie IT i obronę narodową, a także prywatne firmy energetyczne, od których uzyskano dokumenty finansowe, dane pracowników oraz informacje na temat odwiertów ropy i gazu.

Chociaż grupa odpowiedzialna za kampanię pozostaje niezidentyfikowana, podobieństwa w złośliwym oprogramowaniu i metodach dostarczania sugerują powiązanie z poprzednim atakiem ze stycznia, którego celem byli urzędnicy indyjskich sił powietrznych przy użyciu szkodliwego oprogramowania o nazwie GoStealer kradnącego dane uwierzytelniające.

Według EclecticIQ obie kampanie wydają się być dziełem tego samego cyberprzestępcy. Zdaniem badaczy incydenty te podkreślają skuteczność wykorzystania narzędzi open source do cyberszpiegostwa.