A GoStealer malware az indiai hadsereget célozza

Az indiai légierőt célzó kifinomult kiberkémkedési incidenst fedeztek fel biztonsági kutatók. Az Indiai Légierő elleni kibertámadás a jól ismert Go Stealer egy változatát érinti, egy rosszindulatú szoftvert, amelyet érzékeny információk diszkrét kinyerésére fejlesztettek ki.

A „SU-30_Aircraft_Procurement” címkével ellátott, megtévesztő elnevezésű ZIP-fájlon keresztül terjesztett rosszindulatú program a közelmúlt védelmi beszerzési bejelentéseit használja ki, különösen azt, hogy az indiai védelmi minisztérium 2023 szeptemberében 12 db Su-30 MKI vadászrepülőgépet hagyott jóvá.

A Cyble Research és Intelligence Labs megállapításai szerint a támadók aprólékosan megtervezett lépések sorozatán keresztül hajtják végre tervüket. Az Oshi nevű névtelen fájltároló platformot használják a megtévesztő ZIP-fájl tárolására, kulcsfontosságú védelmi dokumentációnak álcázva azt. A "hxxps://oshi[.]at/ougg" link valószínűleg spam e-maileken vagy más kommunikációs csatornákon keresztül terjed.

A fertőzési szekvencia egy ZIP-fájlból ISO-fájlba, majd egy .lnk-fájlba halad át, ami végül a Go Stealer rakomány telepítéséhez vezet. A támadók a védelmi beszerzések körüli fokozott feszültséget kihasználva arra törekszenek, hogy rávegyék az Indiai Légierő szakembereit, hogy akaratlanul is aktiválják a kártevőt.

A GoStealer frissítést kap

Az azonosított Go Stealer változat, amely különbözik GitHub megfelelőjétől, olyan fejlett funkciókat mutat be, amelyek növelik a fenyegetettség szintjét. Ez a Go programozási nyelven kódolt és a GitHub nyílt forráskódú Go Stealerén alapuló változat fejlesztéseket vezet be, beleértve a kiterjesztett böngészőcélzást és egy új módszert az adatok kiszűrésére a Slacken keresztül.

Végrehajtáskor a lopó létrehoz egy naplófájlt az áldozat rendszerén, és olyan GoLang eszközöket használ, mint a GoReSym az alapos elemzéshez. A rosszindulatú program bonyolultan úgy lett megtervezve, hogy bizonyos internetböngészőkből, köztük a Google Chrome-ból, az Edge-ből és a Brave-ből kinyerje a bejelentkezési adatokat és a cookie-kat.

A hagyományos információlopóktól eltérően ez a változat fokozott kifinomultságot mutat azáltal, hogy a Slack API-t használja a titkos kommunikációhoz. A Slack kommunikációs csatornaként való választása összhangban van a vállalati hálózatokban elterjedt használatával, lehetővé téve, hogy a rosszindulatú tevékenységek zökkenőmentesen keveredjenek a szokásos üzleti forgalommal.

Az azonosított Go Stealer, amelyet a "SU-30_Aircraft_Procurement" nevű félrevezető ZIP-fájlon keresztül terjesztenek, jelentős veszélyt jelent az indiai védelmi személyzetre. A támadás időpontja, amely egybeesik az indiai kormánynak a Szu-30 MKI vadászrepülőgépek beszerzéséről szóló bejelentésével, aggályokat vet fel a célzott támadásokkal vagy kémtevékenységekkel kapcsolatban.