Вредоносное ПО HackBrowserData Infostealer используется в атаках на индийские организации

Исследователи раскрыли новую попытку шпионажа, направленную на правительственные органы Индии и энергетический сектор страны, с использованием модифицированной версии инструмента для кражи данных с открытым исходным кодом под названием HackBrowserData. Этот инструмент способен собирать учетные данные для входа, файлы cookie и историю просмотров.

Происхождение кампании, обнародованной исследователями голландской фирмы по кибербезопасности EclecticIQ в начале марта, остается неустановленным. Их результаты, обнародованные в среду, показывают, что хакеры перекачали 8,81 ГБ данных от целей, что потенциально облегчает дальнейшее проникновение в правительственные системы Индии.

Начальный вектор атаки использует файлы PDF

Вредоносное ПО распространялось через фишинговый PDF-файл, маскирующийся под письмо-приглашение от ВВС Индии. Предполагается, что исходный PDF-файл был получен в результате предыдущего взлома и повторно использован злоумышленниками.

В безобидном на вид документе содержался скрытый ярлык вредоносного ПО. После активации вредоносная программа сразу же начала воровать документы и кэшированные данные браузера, передавая их на каналы Slack под контролем злоумышленников, метко получивших название «FlightNight».

HackBrowserData атакует документы и базы данных

Вредоносное ПО было запрограммировано специально для определенных типов файлов, таких как документы Microsoft Office, PDF-файлы и базы данных SQL, что могло ускорить процесс кражи.

В число пострадавших организаций вошли индийские агентства, курирующие электронные коммуникации, управление информационными технологиями и национальную оборону, а также частные энергетические компании, из которых были получены финансовые документы, данные о сотрудниках и информация о деятельности по бурению нефти и газа.

Хотя группа, ответственная за кампанию, остается неустановленной, сходство в вредоносном ПО и методе доставки позволяет предположить связь с предыдущей атакой в январе, которая была нацелена на чиновников ВВС Индии с использованием вредоносного ПО под названием GoStealer, похищающего учетные данные.

По данным EclecticIQ, обе кампании являются делом рук одного и того же злоумышленника. По мнению исследователей, эти инциденты подчеркивают эффективность использования инструментов с открытым исходным кодом для кибершпионажа.