GoStealer Malware retter sig mod indisk militær

En sofistikeret cyberspionagehændelse rettet mod det indiske luftvåben er blevet afsløret af sikkerhedsforskere. Cyberangrebet på det indiske luftvåben involverer en variant af den velkendte Go Stealer, en ondsindet software, der er lavet til diskret at udtrække følsomme oplysninger.

Malwaren, der distribueres via en bedragerisk navngivet ZIP-fil, mærket "SU-30_Aircraft_Procurement", udnytter de seneste meddelelser om forsvarsindkøb, især godkendelsen af 12 Su-30 MKI jagerfly af det indiske forsvarsministerium i september 2023.

Ifølge resultater fra Cyble Research and Intelligence Labs eksekverer angriberne deres plan gennem en omhyggeligt orkestreret række trin. De bruger en anonym fillagringsplatform kaldet Oshi til at være vært for den vildledende ZIP-fil, der forklæder den som afgørende forsvarsdokumentation. Linket, "hxxps://oshi[.]at/ougg," spredes sandsynligvis gennem spam-e-mails eller andre kommunikationskanaler.

Infektionssekvensen går fra en ZIP-fil til en ISO-fil efterfulgt af en .lnk-fil, hvilket i sidste ende fører til implementeringen af Go Stealer-nyttelasten. Ved at udnytte den øgede spænding omkring forsvarsindkøb, sigter angriberne på at lokke professionelle fra det indiske luftvåben til uforvarende at aktivere malwaren.

GoStealer får en opgradering

Den identificerede Go Stealer-variant, adskilt fra dens GitHub-modstykke, viser avancerede funktioner, der hæver trusselsniveauet. Kodet i Go-programmeringssproget og baseret på en open source Go Stealer fra GitHub introducerer denne variant forbedringer, herunder udvidet browsermålretning og en ny metode til dataeksfiltrering gennem Slack.

Efter henrettelse genererer stjæleren en logfil på ofrets system, ved at bruge GoLang-værktøjer såsom GoReSym til grundig analyse. Malwaren er indviklet designet til at udtrække login-legitimationsoplysninger og cookies fra specifikke internetbrowsere, herunder Google Chrome, Edge og Brave.

I en afvigelse fra konventionelle informationstyvere viser denne variant øget sofistikering ved at udnytte Slack API til skjult kommunikation. Valget af Slack som en kommunikationskanal stemmer overens med dets udbredte brug i virksomhedsnetværk, hvilket tillader ondsindede aktiviteter problemfrit at blande sig med almindelig forretningstrafik.

Den identificerede Go Stealer, distribueret gennem den vildledende ZIP-fil med navnet "SU-30_Aircraft_Procurement", udgør en betydelig trussel mod indisk forsvarspersonel. Tidspunktet for angrebet, der falder sammen med den indiske regerings meddelelse om indkøb af Su-30 MKI jagerfly, giver anledning til bekymring om målrettede angreb eller spionageaktiviteter.