A GoStealer malware az indiai hadsereget célozza

Az indiai légierőt célzó kifinomult kiberkémkedési incidenst fedeztek fel biztonsági kutatók. Az Indiai Légierő elleni kibertámadás a jól ismert Go Stealer egy változatát érinti, egy rosszindulatú szoftvert, amelyet érzékeny információk diszkrét kinyerésére fejlesztettek ki.

A „SU-30_Aircraft_Procurement” címkével ellátott, megtévesztő elnevezésű ZIP-fájlon keresztül terjesztett rosszindulatú program a közelmúlt védelmi beszerzési bejelentéseit használja ki, különösen azt, hogy az indiai védelmi minisztérium 2023 szeptemberében 12 db Su-30 MKI vadászrepülőgépet hagyott jóvá.

A Cyble Research és Intelligence Labs megállapításai szerint a támadók aprólékosan megtervezett lépések sorozatán keresztül hajtják végre tervüket. Az Oshi nevű névtelen fájltároló platformot használják a megtévesztő ZIP-fájl tárolására, kulcsfontosságú védelmi dokumentációnak álcázva azt. A "hxxps://oshi[.]at/ougg" link valószínűleg spam e-maileken vagy más kommunikációs csatornákon keresztül terjed.

A fertőzési szekvencia egy ZIP-fájlból ISO-fájlba, majd egy .lnk-fájlba halad át, ami végül a Go Stealer rakomány telepítéséhez vezet. A támadók a védelmi beszerzések körüli fokozott feszültséget kihasználva arra törekszenek, hogy rávegyék az Indiai Légierő szakembereit, hogy akaratlanul is aktiválják a kártevőt.

A GoStealer frissítést kap

Az azonosított Go Stealer változat, amely különbözik GitHub megfelelőjétől, olyan fejlett funkciókat mutat be, amelyek növelik a fenyegetettség szintjét. Ez a Go programozási nyelven kódolt és a GitHub nyílt forráskódú Go Stealerén alapuló változat fejlesztéseket vezet be, beleértve a kiterjesztett böngészőcélzást és egy új módszert az adatok kiszűrésére a Slacken keresztül.

Végrehajtáskor a lopó létrehoz egy naplófájlt az áldozat rendszerén, és olyan GoLang eszközöket használ, mint a GoReSym az alapos elemzéshez. A rosszindulatú program bonyolultan úgy lett megtervezve, hogy bizonyos internetböngészőkből, köztük a Google Chrome-ból, az Edge-ből és a Brave-ből kinyerje a bejelentkezési adatokat és a cookie-kat.

A hagyományos információlopóktól eltérően ez a változat fokozott kifinomultságot mutat azáltal, hogy a Slack API-t használja a titkos kommunikációhoz. A Slack kommunikációs csatornaként való választása összhangban van a vállalati hálózatokban elterjedt használatával, lehetővé téve, hogy a rosszindulatú tevékenységek zökkenőmentesen keveredjenek a szokásos üzleti forgalommal.

Az azonosított Go Stealer, amelyet a "SU-30_Aircraft_Procurement" nevű félrevezető ZIP-fájlon keresztül terjesztenek, jelentős veszélyt jelent az indiai védelmi személyzetre. A támadás időpontja, amely egybeesik az indiai kormánynak a Szu-30 MKI vadászrepülőgépek beszerzéséről szóló bejelentésével, aggályokat vet fel a célzott támadásokkal vagy kémtevékenységekkel kapcsolatban.

January 19, 2024
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.