Logiciel malveillant HackBrowserData Infostealer
Des acteurs inconnus ont dirigé leur attention vers des entités gouvernementales indiennes et des sociétés énergétiques, en utilisant une variante modifiée d'un logiciel malveillant de vol d'informations open source baptisé HackBrowserData. Leur objectif consiste à exfiltrer des données sensibles, avec Slack comme mécanisme de Commande et Contrôle (C2) dans certains cas. Le logiciel malveillant a été diffusé via des e-mails de phishing, camouflés sous forme de lettres d'invitation provenant prétendument de l'Indian Air Force.
Lors de son exécution, l'attaquant a exploité les canaux Slack comme moyen d'exfiltrer diverses formes d'informations sensibles, notamment des documents internes confidentiels, des correspondances privées par courrier électronique et des données de navigateur Web mises en cache. On estime que cette campagne documentée a commencé début mars 2024.
Table des matières
Les cybercriminels ciblent d’importantes entités gouvernementales et privées
La portée de cette activité nuisible s'étend à de nombreuses entités gouvernementales en Inde, englobant des secteurs tels que les communications électroniques, la gouvernance informatique et la défense nationale.
Il semblerait que l'auteur de la menace ait effectivement violé des sociétés énergétiques privées, en extrayant des documents financiers, des informations personnelles sur les employés et des détails concernant les opérations de forage pétrolier et gazier. La quantité totale de données exfiltrées tout au long de la campagne s'élève à environ 8,81 gigaoctets.
Chaîne d’infection déployant un logiciel malveillant HackBrowserData modifié
La séquence d'attaque démarre avec un message de phishing contenant un fichier ISO nommé « invite.iso ». Dans ce fichier se trouve un raccourci Windows (LNK) qui active l'exécution d'un fichier binaire masqué (« Scholar.exe ») résidant dans l'image du disque optique montée.
Parallèlement, un fichier PDF trompeur se faisant passer pour une lettre d'invitation de l'Indian Air Force est présenté à la victime. Dans le même temps, en arrière-plan, le malware rassemble discrètement des documents et des données de navigateur Web mises en cache, les transmettant à un canal Slack sous le contrôle de l'acteur malveillant, désigné FlightNight.
Ce malware représente une itération modifiée de HackBrowserData, s'étendant au-delà des fonctions initiales de vol de données du navigateur pour inclure la possibilité d'extraire des documents (tels que ceux de Microsoft Office, des fichiers PDF et des fichiers de base de données SQL), de communiquer via Slack et d'utiliser des techniques d'obscurcissement pour une évasion améliorée. de détection.
On soupçonne que l'acteur malveillant a acquis le leurre PDF lors d'une intrusion antérieure, avec des parallèles comportementaux attribués à une campagne de phishing ciblant l'armée de l'air indienne utilisant un voleur basé sur Go connu sous le nom de GoStealer.
Campagnes de logiciels malveillants précédentes utilisant des tactiques d’infection similaires
Le processus d'infection de GoStealer reflète étroitement celui de FlightNight, employant des tactiques de leurre centrées sur des thèmes d'approvisionnement (par exemple, « SU-30 Aircraft Procurement.iso ») pour distraire les victimes avec un fichier leurre. Dans le même temps, la charge utile du voleur opère en arrière-plan, exfiltrant des informations ciblées via Slack.
En utilisant des outils offensifs facilement disponibles et en tirant parti de plateformes légitimes comme Slack, que l’on trouve couramment dans les environnements d’entreprise, les acteurs malveillants peuvent rationaliser leurs opérations, réduisant ainsi le temps et les dépenses de développement tout en restant discrets.
Ces gains d’efficacité simplifient de plus en plus le lancement d’attaques ciblées, permettant même à des cybercriminels moins expérimentés de causer des dommages importants aux organisations. Cela souligne la nature évolutive des cybermenaces, dans lesquelles des acteurs malveillants exploitent des outils et des plateformes open source largement accessibles pour atteindre leurs objectifs avec un risque minimal de détection et d'investissement.
