Entidades governamentais indianas e empresas de energia foram alvo de atores de ameaças desconhecidos com o objetivo de entregar uma versão modificada de um malware de roubo de informações de código aberto chamado HackBrowserData e exfiltrar informações sensíveis em alguns casos usando o Slack como comando e controle (C2).
"O infiltrador de informações foi entregue por meio de um email de phishing, se disfarçando como uma carta de convite da Força Aérea Indiana", disse o pesquisador da EclecticIQ, Arda Büyükkaya, em um relatório publicado hoje.
"O atacante utilizou canais do Slack como pontos de exfiltração para fazer upload de documentos internos confidenciais, mensagens de email privadas e dados do navegador da web em cache após a execução do malware."
A campanha, observada pela empresa holandesa de segurança cibernética a partir de 7 de março de 2024, recebeu o codinome Operação FlightNight em referência aos canais do Slack operados pelo adversário.
Os alvos da atividade maliciosa abrangem várias entidades governamentais da Índia, incluindo aquelas relacionadas às comunicações eletrônicas, governança de TI e defesa nacional.
Diz-se que o ator da ameaça comprometeu com sucesso empresas privadas de energia, colhendo documentos financeiros, detalhes pessoais dos funcionários e detalhes sobre as atividades de perfuração de petróleo e gás.
No total, cerca de 8,81 GB de dados foram exfiltrados ao longo da campanha.
A cadeia de ataque começa com uma mensagem de phishing contendo um arquivo ISO ("convite.iso"), que, por sua vez, contém um atalho do Windows (LNK) que aciona a execução de um binário oculto ("scholar.exe") presente dentro da imagem de disco óptico montada.
Simultaneamente, um arquivo PDF tentador que se apresenta como uma carta de convite da Força Aérea Indiana é exibido para a vítima enquanto o malware clandestinamente colhe documentos e dados do navegador da web em cache e os transmite para um canal Slack controlado pelo ator chamado FlightNight.
O malware é uma versão alterada do HackBrowserData que vai além dos recursos de roubo de dados do navegador para incorporar recursos para sifonar documentos (Microsoft Office, PDFs e arquivos de banco de dados SQL), comunicar-se via Slack e evadir melhor a detecção usando técnicas de ofuscação.
Suspeita-se que o ator da ameaça tenha roubado o PDF de isca durante uma intrusão anterior, com semelhanças comportamentais rastreadas até uma campanha de phishing que tem como alvo a Força Aérea Indiana com um ladrão baseado em Go chamado GoStealer.
Os detalhes da atividade foram divulgados por um pesquisador de segurança indiano que usa o pseudônimo xelemental (@ElementalX2) em meados de janeiro de 2024.
A sequência de infecção do GoStealer é praticamente idêntica à do FlightNight, empregando iscas temáticas de aquisição ("SU-30 Aircraft Procurement.iso") para exibir um arquivo de isca enquanto a payload do ladrão é implantada para exfiltrar informações de interesse pelo Slack.
Ao adaptar ferramentas ofensivas livremente disponíveis e reutilizar infraestrutura legítima como o Slack, que é prevalente em ambientes corporativos, permite que os atores de ameaças reduzam o tempo e os custos de desenvolvimento, bem como voem facilmente sob o radar.
Os benefícios de eficiência também significam que é muito mais fácil lançar um ataque direcionado, permitindo até mesmo que criminosos cibernéticos menos habilidosos e aspirantes entrem em ação e causem danos significativos às organizações.
"A Operação FlightNight e a campanha GoStealer destacam uma abordagem simples, mas eficaz dos atores de ameaças para usar ferramentas de código aberto para espionagem cibernética", disse Büyükkaya.
"Isto ressalta a evolução da paisagem das ameaças cibernéticas, onde os atores abusam de ferramentas ofensivas de código aberto amplamente usadas e plataformas para atingir seus objetivos com risco mínimo de detecção e investimento."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...