HackBrowserData Infostealer skadlig programvara används vid attacker mot indiska enheter

Forskare har avslöjat ett nytt spionageförsök riktat mot indiska statliga organ och landets energisektor, med användning av en modifierad utgåva av ett verktyg för öppen källkod för datastöld vid namn HackBrowserData. Det här verktyget kan samla in inloggningsuppgifter, cookies och webbhistorik.

Kampanjens ursprung, som avslöjades av forskare från det holländska cybersäkerhetsföretaget EclecticIQ i början av mars, är fortfarande oidentifierat. Deras resultat, som avslöjades på onsdagen, avslöjar att hackare hämtade 8,81 GB data från mål, vilket potentiellt skulle underlätta ytterligare infiltrationer i indiska regeringssystem.

Initial Attact Vector använder PDF-filer

Den skadliga programvaran distribuerades genom en nätfiske-PDF-fil som maskerades som ett inbjudningsbrev från det indiska flygvapnet. Det antas att den ursprungliga PDF-filen erhölls i ett tidigare intrång och återanvänts av angriparna.

Det ofarliga dokumentet innehöll en dold genväg till skadlig programvara. När den väl aktiverats började skadlig programvara omedelbart stjäla dokument och cachade webbläsardata, överföra dem till Slack-kanaler under kontroll av angriparna, passande namnet "FlightNight".

HackBrowserData går efter dokument och databaser

Skadlig programvara programmerades för att specifikt rikta in sig på vissa filtyper, såsom Microsoft Office-dokument, PDF-filer och SQL-databaser, vilket sannolikt skulle påskynda stöldprocessen.

Offren omfattade indiska byråer som övervakar elektronisk kommunikation, IT-styrning och nationellt försvar, såväl som privata energiföretag, från vilka finansiella dokument, personaluppgifter och information om olje- och gasborrningsaktiviteter extraherades.

Även om gruppen som ansvarar för kampanjen förblir oidentifierad, tyder likheterna i skadlig programvara och leveransmetoder på en länk till en tidigare attack i januari, som riktade sig till indiska flygvapnets tjänstemän som använde en skadlig programvara som stjäl legitimation vid namn GoStealer.

Båda kampanjerna verkar vara handverk av samma hotaktör, enligt EclecticIQ. Dessa incidenter understryker effektiviteten i att utnyttja verktyg med öppen källkod för cyberspionage, enligt forskarna.