Эксперты из голландской компании EclecticIQ обнаружили новую шпионскую кампанию, направленную на индийские правительственные учреждения и энергетическую отрасль. Атакующие используют модифицированную версию опенсорсного стилера HackBrowserData, который ворует учетные данные, cookie и историю браузера.
Исследователи заметили эту кампанию в начале марта 2024 года, но не связывают ее с какой-либо конкретной группировкой. По их данным, в настоящее время хакеры похитили у жертв около 8,81 ГБ информации, и в будущем эти данные могут использоваться для новых атак и проникновения в инфраструктуру индийского правительства.
Инфостилер HackBrowserData распространяется посредством фишингового PDF-документа, замаскированного под пригласительное письмо от ВВС Индии. Исследователи предполагают, что оригинальный PDF, скорее всего, был украден во время предыдущих атак и теперь используется злоумышленниками повторно.
Сам документ выглядит безвредным, но содержит ярлык — LNK-файл, указывающий на малварь. После запуска вредоносная программа сразу же начинает пересылать документы и кэшированные данные из браузера жертвы в каналы Slack. Похищенная информация включает в себя внутренние документы, личные сообщения письма и кешированные данные браузера.
Аналитики EclecticIQ назвали эту кампанию «Операция FlightNight», поскольку каждый из хакерских каналов Slack содержал словосочетание «FlightNight».
Отмечается, что на устройствах жертв малварь нацелена только на определенные расширения, включая окументы Microsoft Office (Word, PowerPoint, Excel), PDF-файлы и файлы баз данных SQL, что позволяет повысить скорость хищения данных.
Среди пострадавших, по данным экспертов, уже числятся индийские государственные структуры, отвечающие за электронные коммуникации, управление ИТ и национальную оборону. Что касается частных энергетических компаний, то хакеры похищали у них финансовые документы, личные данные сотрудников и сведения о буровых работах в нефтегазовой отрасли.
Хотя неизвестно, какая именно хак-группа стоит за этой кампанией, сходство вредоносного ПО и метаданных указывает на связь с атакой, о которой сообщалось ранее в январе текущего года. Тогда хакеры атаковали служащих ВВС Индии с помощью варианта малвари GoStealer.
Тогда злоумышленники использовали GoStealer, основанный на опенсорсной малвари, найденной на GitHub, атаковали различные браузеры (Firefox, Google Chrome, Edge и Brave) и тоже осуществляли «слив» данных через Slack.
По мнению EclecticIQ, обе кампании, скорее всего, являются делом рук одной и той же группировки.
«Операция FlightNight и кампания GoStealer демонстрируют простой, но весьма эффективный подход злоумышленников к использованию инструментов с открытым исходным кодом для кибершпионажа», — заключают эксперты.