HackBrowserData Infostealer Malware

Actores de amenazas desconocidos han dirigido su atención hacia entidades gubernamentales y empresas de energía de la India, empleando una variante modificada de un malware de código abierto que roba información denominado HackBrowserData. Su objetivo consiste en exfiltrar datos confidenciales, con Slack como mecanismo de comando y control (C2) en ciertos casos. El malware se difundió a través de correos electrónicos de phishing, camuflados como cartas de invitación supuestamente de la Fuerza Aérea India.

Tras la ejecución, el atacante aprovechó los canales de Slack como conductos para extraer diversas formas de información confidencial, incluidos documentos internos confidenciales, correspondencia privada por correo electrónico y datos almacenados en caché del navegador web. Se estima que esta campaña documentada comenzó a principios de marzo de 2024.

Los ciberdelincuentes se dirigen a importantes entidades gubernamentales y privadas

El alcance de la actividad dañina se extiende a numerosas entidades gubernamentales de la India, abarcando sectores como las comunicaciones electrónicas, la gobernanza de TI y la defensa nacional.

Según se informa, el actor de amenazas ha violado efectivamente empresas energéticas privadas, extrayendo documentos financieros, información personal de los empleados y detalles sobre operaciones de perforación de petróleo y gas. La cantidad total de datos exfiltrados a lo largo de la campaña asciende aproximadamente a 8,81 gigabytes.

Cadena de infección que implementa un malware HackBrowserData modificado

La secuencia de ataque comienza con un mensaje de phishing que contiene un archivo ISO llamado 'invite.iso'. Dentro de este archivo se encuentra un acceso directo de Windows (LNK) que activa la ejecución de un archivo binario oculto ('scholar.exe') que reside dentro de la imagen del disco óptico montado.

Al mismo tiempo, se presenta a la víctima un archivo PDF engañoso que se hace pasar por una carta de invitación de la Fuerza Aérea de la India. Al mismo tiempo, en segundo plano, el malware recopila discretamente documentos y datos almacenados en caché del navegador web y los transmite a un canal de Slack bajo el control del actor de amenazas, denominado FlightNight.

Este malware representa una iteración modificada de HackBrowserData, que se extiende más allá de sus funciones iniciales de robo de datos del navegador para incluir la capacidad de extraer documentos (como los de Microsoft Office, PDF y archivos de bases de datos SQL), comunicarse a través de Slack y emplear técnicas de ofuscación para mejorar la evasión. de detección.

Existe la sospecha de que el actor de la amenaza adquirió el PDF señuelo durante una intrusión anterior, con paralelos de comportamiento rastreados con una campaña de phishing dirigida a la Fuerza Aérea de la India utilizando un ladrón basado en Go conocido como GoStealer.

Campañas de malware anteriores que utilizan tácticas de infección similares

El proceso de infección de GoStealer refleja fielmente el de FlightNight, empleando tácticas de señuelo centradas en temas de adquisiciones (por ejemplo, 'SU-30 Aircraft Procurement.iso') para distraer a las víctimas con un archivo señuelo. Al mismo tiempo, la carga útil del ladrón opera en segundo plano, extrayendo información específica a través de Slack.

Al utilizar herramientas ofensivas fácilmente disponibles y aprovechar plataformas legítimas como Slack, que se encuentran comúnmente en entornos corporativos, los actores de amenazas pueden optimizar sus operaciones, reducir el tiempo y los gastos de desarrollo y, al mismo tiempo, mantener un perfil bajo.

Estas ganancias de eficiencia hacen que sea cada vez más sencillo lanzar ataques dirigidos, permitiendo incluso que ciberdelincuentes menos experimentados causen daños significativos a las organizaciones. Esto subraya la naturaleza cambiante de las ciberamenazas, donde los actores maliciosos explotan herramientas y plataformas de código abierto ampliamente accesibles para lograr sus objetivos con un riesgo mínimo de detección e inversión.