HackBrowserData Infostealer-Malware
Unbekannte Bedrohungsakteure haben ihre Aufmerksamkeit auf indische Regierungsbehörden und Energieunternehmen gelenkt und dabei eine modifizierte Variante einer Open-Source-Malware zum Diebstahl von Informationen namens HackBrowserData eingesetzt. Ihr Ziel besteht darin, sensible Daten herauszufiltern, wobei Slack in bestimmten Fällen als Command-and-Control-Mechanismus (C2) fungiert. Die Malware wurde über Phishing-E-Mails verbreitet, getarnt als Einladungsschreiben, angeblich von der indischen Luftwaffe.
Bei der Ausführung nutzte der Angreifer Slack-Kanäle als Kanäle, um verschiedene Formen sensibler Informationen herauszuschleusen, darunter vertrauliche interne Dokumente, private E-Mail-Korrespondenz und zwischengespeicherte Webbrowser-Daten. Es wird geschätzt, dass diese dokumentierte Kampagne Anfang März 2024 begonnen hat.
Inhaltsverzeichnis
Cyberkriminelle haben es auf wichtige staatliche und private Unternehmen abgesehen
Das Ausmaß der schädlichen Aktivitäten erstreckt sich über zahlreiche Regierungsstellen in Indien und umfasst Sektoren wie elektronische Kommunikation, IT-Governance und Landesverteidigung.
Berichten zufolge hat der Bedrohungsakteur tatsächlich in private Energieunternehmen eingedrungen und Finanzdokumente, persönliche Informationen von Mitarbeitern sowie Details zu Öl- und Gasbohrarbeiten abgerufen. Die Gesamtmenge der während der Kampagne exfiltrierten Daten beläuft sich auf etwa 8,81 Gigabyte.
Infektionskette durch Bereitstellung einer modifizierten HackBrowserData-Malware
Die Angriffssequenz wird mit einer Phishing-Nachricht eingeleitet, die eine ISO-Datei mit dem Namen „invite.iso“ enthält. In dieser Datei befindet sich eine Windows-Verknüpfung (LNK), die die Ausführung einer verborgenen Binärdatei („scholar.exe“) aktiviert, die sich im gemounteten optischen Datenträger-Image befindet.
Gleichzeitig wird dem Opfer eine betrügerische PDF-Datei vorgelegt, die als Einladungsschreiben der indischen Luftwaffe ausgegeben wird. Gleichzeitig sammelt die Malware im Hintergrund diskret Dokumente und zwischengespeicherte Webbrowser-Daten und übermittelt sie an einen Slack-Kanal unter der Kontrolle des Bedrohungsakteurs namens FlightNight.
Bei dieser Malware handelt es sich um eine modifizierte Version von HackBrowserData, die über die anfänglichen Browser-Datendiebstahlfunktionen hinausgeht und die Möglichkeit umfasst, Dokumente (z. B. in Microsoft Office, PDFs und SQL-Datenbankdateien) zu extrahieren, über Slack zu kommunizieren und Verschleierungstechniken zur verbesserten Umgehung einzusetzen der Erkennung.
Es besteht der Verdacht, dass der Bedrohungsakteur das Täuschungs-PDF bei einem früheren Einbruch erlangt hat, wobei das Verhalten Parallelen zu einer Phishing-Kampagne gegen die indische Luftwaffe aufweist, bei der ein Go-basierter Stealer namens GoStealer zum Einsatz kam.
Frühere Malware-Kampagnen, die ähnliche Infektionstaktiken nutzen
Der GoStealer-Infektionsprozess ähnelt stark dem von FlightNight und verwendet Locktaktiken rund um Beschaffungsthemen (z. B. „SU-30 Aircraft Procurement.iso“), um Opfer mit einer Lockdatei abzulenken. Gleichzeitig arbeitet die Stealer-Payload im Hintergrund und filtert gezielte Informationen über Slack.
Durch den Einsatz leicht verfügbarer Angriffstools und die Nutzung legitimer Plattformen wie Slack, die häufig in Unternehmensumgebungen zu finden sind, können Bedrohungsakteure ihre Abläufe optimieren und so sowohl Zeit als auch Entwicklungskosten reduzieren und gleichzeitig unauffällig bleiben.
Diese Effizienzgewinne machen es immer einfacher, gezielte Angriffe zu starten, sodass auch weniger erfahrene Cyberkriminelle Unternehmen erheblichen Schaden zufügen können. Dies unterstreicht die sich weiterentwickelnde Natur von Cyber-Bedrohungen, bei denen böswillige Akteure weithin zugängliche Open-Source-Tools und -Plattformen nutzen, um ihre Ziele mit minimalem Entdeckungs- und Investitionsrisiko zu erreichen.
