Το κακόβουλο λογισμικό GoStealer στοχεύει τον Ινδικό στρατό
Ένα περίπλοκο περιστατικό κατασκοπείας στον κυβερνοχώρο με στόχο την ινδική Πολεμική Αεροπορία αποκαλύφθηκε από ερευνητές ασφαλείας. Η κυβερνοεπίθεση στην ινδική Πολεμική Αεροπορία περιλαμβάνει μια παραλλαγή του γνωστού Go Stealer, ενός κακόβουλου λογισμικού που δημιουργήθηκε για να εξάγει διακριτικά ευαίσθητες πληροφορίες.
Το κακόβουλο λογισμικό, που διανέμεται μέσω ενός αρχείου ZIP με παραπλανητική ονομασία, με την ένδειξη "SU-30_Aircraft_Procurement", εκμεταλλεύεται τις πρόσφατες ανακοινώσεις αμυντικών προμηθειών, ιδιαίτερα την έγκριση 12 μαχητικών αεροσκαφών Su-30 MKI από το Υπουργείο Άμυνας της Ινδίας τον Σεπτέμβριο του 2023.
Σύμφωνα με τα ευρήματα της Cyble Research and Intelligence Labs, οι επιτιθέμενοι εκτελούν το σχέδιό τους μέσα από μια σχολαστικά ενορχηστρωμένη σειρά βημάτων. Χρησιμοποιούν μια ανώνυμη πλατφόρμα αποθήκευσης αρχείων που ονομάζεται Oshi για να φιλοξενήσει το παραπλανητικό αρχείο ZIP, μεταμφιέζοντάς το ως ζωτικής σημασίας αμυντική τεκμηρίωση. Ο σύνδεσμος, "hxxps://oshi[.]at/ougg," πιθανότατα διαδίδεται μέσω ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου ή άλλων καναλιών επικοινωνίας.
Η ακολουθία μόλυνσης εξελίσσεται από ένα αρχείο ZIP σε ένα αρχείο ISO, ακολουθούμενο από ένα αρχείο .lnk, οδηγώντας τελικά στην ανάπτυξη του ωφέλιμου φορτίου Go Stealer. Εκμεταλλευόμενοι την αυξημένη ένταση γύρω από τις αμυντικές προμήθειες, οι επιτιθέμενοι στοχεύουν να δελεάσουν τους επαγγελματίες της ινδικής αεροπορίας να ενεργοποιήσουν άθελά τους το κακόβουλο λογισμικό.
Το GoStealer λαμβάνει μια αναβάθμιση
Η αναγνωρισμένη παραλλαγή Go Stealer, διαφορετική από την αντίστοιχη GitHub, παρουσιάζει προηγμένα χαρακτηριστικά που ανεβάζουν το επίπεδο απειλής. Κωδικοποιημένη στη γλώσσα προγραμματισμού Go και βασισμένη σε ένα Go Stealer ανοιχτού κώδικα από το GitHub, αυτή η παραλλαγή εισάγει βελτιώσεις, συμπεριλαμβανομένης της διευρυμένης στόχευσης προγράμματος περιήγησης και μιας νέας μεθόδου εξαγωγής δεδομένων μέσω του Slack.
Κατά την εκτέλεση, ο κλέφτης δημιουργεί ένα αρχείο καταγραφής στο σύστημα του θύματος, χρησιμοποιώντας εργαλεία GoLang όπως το GoReSym για ενδελεχή ανάλυση. Το κακόβουλο λογισμικό έχει σχεδιαστεί περίπλοκα για να εξάγει διαπιστευτήρια σύνδεσης και cookie από συγκεκριμένα προγράμματα περιήγησης στο Διαδίκτυο, συμπεριλαμβανομένων των Google Chrome, Edge και Brave.
Σε μια απόκλιση από τους συμβατικούς κλέφτες πληροφοριών, αυτή η παραλλαγή παρουσιάζει αυξημένη πολυπλοκότητα αξιοποιώντας το Slack API για κρυφές επικοινωνίες. Η επιλογή του Slack ως καναλιού επικοινωνίας ευθυγραμμίζεται με την ευρεία χρήση του σε εταιρικά δίκτυα, επιτρέποντας σε κακόβουλες δραστηριότητες να συνδυάζονται απρόσκοπτα με την κανονική επιχειρηματική κίνηση.
Το αναγνωρισμένο Go Stealer, που διανέμεται μέσω του παραπλανητικού αρχείου ZIP με την ονομασία "SU-30_Aircraft_Procurement", αποτελεί σημαντική απειλή για το ινδικό αμυντικό προσωπικό. Ο χρόνος της επίθεσης, που συμπίπτει με την ανακοίνωση της ινδικής κυβέρνησης για την προμήθεια μαχητικών αεροσκαφών Su-30 MKI, εγείρει ανησυχίες για στοχευμένες επιθέσεις ή δραστηριότητες κατασκοπείας.
