Il malware GoStealer prende di mira l'esercito indiano

Un sofisticato incidente di spionaggio informatico che ha preso di mira l'aeronautica indiana è stato scoperto da ricercatori di sicurezza. L'attacco informatico contro l'aeronautica militare indiana coinvolge una variante del noto Go Stealer, un software dannoso creato per estrarre con discrezione informazioni sensibili.

Il malware, distribuito tramite un file ZIP dal nome ingannevole, etichettato "SU-30_Aircraft_Procurement", sfrutta i recenti annunci di appalti per la difesa, in particolare l'approvazione di 12 aerei da combattimento Su-30 MKI da parte del Ministero della Difesa indiano nel settembre 2023.

Secondo i risultati di Cyble Research and Intelligence Labs, gli aggressori eseguono il loro piano attraverso una serie di passaggi meticolosamente orchestrati. Utilizzano una piattaforma di archiviazione di file anonima chiamata Oshi per ospitare il file ZIP ingannevole, mascherandolo da documentazione di difesa cruciale. Il collegamento "hxxps://oshi[.]at/ougg" viene probabilmente diffuso tramite e-mail di spam o altri canali di comunicazione.

La sequenza dell'infezione procede da un file ZIP a un file ISO, seguito da un file .lnk, portando infine all'implementazione del payload Go Stealer. Sfruttando la crescente tensione sugli appalti per la difesa, gli aggressori mirano a indurre i professionisti dell’aeronautica indiana ad attivare involontariamente il malware.

GoStealer ottiene un aggiornamento

La variante Go Stealer identificata, distinta dalla sua controparte GitHub, presenta funzionalità avanzate che ne aumentano il livello di minaccia. Codificata nel linguaggio di programmazione Go e basata su un Go Stealer open source di GitHub, questa variante introduce miglioramenti, tra cui il targeting esteso del browser e un nuovo metodo di esfiltrazione dei dati tramite Slack.

Dopo l'esecuzione, il ladro genera un file di registro sul sistema della vittima, utilizzando strumenti GoLang come GoReSym per un'analisi approfondita. Il malware è progettato in modo complesso per estrarre credenziali di accesso e cookie da browser Internet specifici, tra cui Google Chrome, Edge e Brave.

Diversamente dai tradizionali ladri di informazioni, questa variante mostra una maggiore sofisticazione sfruttando l'API Slack per le comunicazioni segrete. La scelta di Slack come canale di comunicazione è in linea con il suo utilizzo diffuso nelle reti aziendali, consentendo alle attività dannose di integrarsi perfettamente con il normale traffico aziendale.

Il Go Stealer identificato, distribuito tramite il fuorviante file ZIP denominato "SU-30_Aircraft_Procurement", rappresenta una minaccia significativa per il personale della difesa indiano. La tempistica dell'attacco, che coincide con l'annuncio da parte del governo indiano dell'acquisto di aerei da combattimento Su-30 MKI, solleva preoccupazioni circa attacchi mirati o attività di spionaggio.