GoStealer Malware retter seg mot indisk militær

En sofistikert cyberspionasjehendelse rettet mot det indiske luftvåpenet har blitt avdekket av sikkerhetsforskere. Nettangrepet på det indiske flyvåpenet involverer en variant av den velkjente Go Stealer, en ondsinnet programvare laget for å diskret trekke ut sensitiv informasjon.

Skadevaren, distribuert via en villedende navngitt ZIP-fil, merket "SU-30_Aircraft_Procurement," utnytter nylige forsvarsanskaffelser, spesielt godkjenningen av 12 Su-30 MKI jagerfly av det indiske forsvarsdepartementet i september 2023.

I henhold til funn fra Cyble Research and Intelligence Labs, utfører angriperne planen sin gjennom en omhyggelig orkestrert rekke trinn. De bruker en anonym fillagringsplattform kalt Oshi for å være vert for den villedende ZIP-filen, og skjuler den som viktig forsvarsdokumentasjon. Linken, "hxxps://oshi[.]at/ougg," spres sannsynligvis gjennom spam-e-post eller andre kommunikasjonskanaler.

Infeksjonssekvensen går fra en ZIP-fil til en ISO-fil, etterfulgt av en .lnk-fil, som til slutt fører til distribusjon av Go Stealer-nyttelasten. Ved å utnytte den økte spenningen rundt forsvarsanskaffelser, har angriperne som mål å lokke fagfolk fra det indiske luftvåpenet til uforvarende å aktivere skadevare.

GoStealer får en oppgradering

Den identifiserte Go Stealer-varianten, forskjellig fra GitHub-motparten, viser frem avanserte funksjoner som hever trusselnivået. Kodet i programmeringsspråket Go og basert på en åpen kildekode Go Stealer fra GitHub, introduserer denne varianten forbedringer, inkludert utvidet nettlesermålretting og en ny metode for dataeksfiltrering gjennom Slack.

Ved henrettelse genererer stjeleren en loggfil på offerets system, ved å bruke GoLang-verktøy som GoReSym for grundig analyse. Skadevaren er intrikat designet for å trekke ut påloggingsinformasjon og informasjonskapsler fra spesifikke nettlesere, inkludert Google Chrome, Edge og Brave.

I en avvik fra konvensjonelle informasjonstyvere, viser denne varianten økt raffinement ved å utnytte Slack API for skjult kommunikasjon. Valget av Slack som kommunikasjonskanal stemmer overens med dens utbredte bruk i bedriftsnettverk, og lar ondsinnede aktiviteter sømløst blande seg med vanlig forretningstrafikk.

Den identifiserte Go Stealer, distribuert gjennom den villedende ZIP-filen kalt "SU-30_Aircraft_Procurement," utgjør en betydelig trussel mot indisk forsvarspersonell. Tidspunktet for angrepet, sammenfallende med den indiske regjeringens kunngjøring av anskaffelsen av Su-30 MKI jagerfly, vekker bekymring for målrettede angrep eller spionasjeaktiviteter.