Malware HackBrowserData Infostealer é usado em ataques a entidades indianas

Os pesquisadores expuseram uma nova tentativa de espionagem dirigida aos órgãos governamentais indianos e ao setor energético do país, empregando uma edição modificada de uma ferramenta de roubo de dados de código aberto chamada HackBrowserData. Esta ferramenta é capaz de coletar credenciais de login, cookies e histórico de navegação.

Revelada por pesquisadores da empresa holandesa de segurança cibernética EclecticIQ no início de março, a origem da campanha permanece não identificada. Suas descobertas, divulgadas na quarta-feira, revelam que os hackers desviaram 8,81 GB de dados dos alvos, facilitando potencialmente novas infiltrações nos sistemas do governo indiano.

O vetor Attact inicial usa arquivos PDF

O software malicioso foi distribuído por meio de um arquivo PDF de phishing disfarçado de carta-convite da Força Aérea Indiana. Presume-se que o PDF original foi obtido em uma violação anterior e reaproveitado pelos invasores.

O documento de aparência inócua continha um atalho oculto para o malware. Uma vez ativado, o malware imediatamente começou a roubar documentos e dados armazenados em cache do navegador, transmitindo-os para canais do Slack sob o controle dos invasores, apropriadamente chamados de “FlightNight”.

HackBrowserData vai atrás de documentos e bancos de dados

O malware foi programado para atingir especificamente determinados tipos de arquivos, como documentos do Microsoft Office, PDFs e bancos de dados SQL, provavelmente para agilizar o processo de roubo.

As entidades vítimas incluíam agências indianas que supervisionam as comunicações electrónicas, a governação de TI e a defesa nacional, bem como empresas privadas de energia, das quais foram extraídos documentos financeiros, dados de funcionários e informações sobre actividades de perfuração de petróleo e gás.

Embora o grupo responsável pela campanha permaneça não identificado, as semelhanças no malware e no método de entrega sugerem uma ligação com um ataque anterior em janeiro, que teve como alvo oficiais da Força Aérea Indiana usando um malware de roubo de credenciais chamado GoStealer.

Ambas as campanhas parecem ser obra do mesmo ator de ameaça, de acordo com EclecticIQ. Estes incidentes sublinham a eficácia do aproveitamento de ferramentas de código aberto para espionagem cibernética, segundo os investigadores.