Malware GoStealer tem como alvo militares indianos

Um sofisticado incidente de espionagem cibernética visando a Força Aérea Indiana foi descoberto por pesquisadores de segurança. O ataque cibernético à Força Aérea Indiana envolve uma variante do conhecido Go Stealer, um software malicioso criado para extrair discretamente informações confidenciais.

O malware, distribuído por meio de um arquivo ZIP com nome enganoso, denominado “SU-30_Aircraft_Procurement”, explora anúncios recentes de compras de defesa, particularmente a aprovação de 12 caças Su-30 MKI pelo Ministério da Defesa indiano em setembro de 2023.

De acordo com as descobertas do Cyble Research and Intelligence Labs, os invasores executam seu plano por meio de uma série de etapas meticulosamente orquestradas. Eles utilizam uma plataforma anônima de armazenamento de arquivos chamada Oshi para hospedar o arquivo ZIP enganoso, disfarçando-o como documentação de defesa crucial. O link "hxxps://oshi[.]at/ougg" é provavelmente divulgado através de e-mails de spam ou outros canais de comunicação.

A sequência de infecção progride de um arquivo ZIP para um arquivo ISO, seguido por um arquivo .lnk, levando à implantação da carga útil do Go Stealer. Explorando a crescente tensão em torno das compras de defesa, os invasores pretendem induzir os profissionais da Força Aérea Indiana a ativar involuntariamente o malware.

GoStealer recebe uma atualização

A variante Go Stealer identificada, diferente de sua contraparte GitHub, apresenta recursos avançados que elevam seu nível de ameaça. Codificada na linguagem de programação Go e baseada em um Go Stealer de código aberto do GitHub, esta variante apresenta melhorias, incluindo segmentação expandida do navegador e um novo método de exfiltração de dados por meio do Slack.

Após a execução, o ladrão gera um arquivo de log no sistema da vítima, utilizando ferramentas GoLang, como GoReSym, para uma análise completa. O malware é intrinsecamente projetado para extrair credenciais de login e cookies de navegadores de Internet específicos, incluindo Google Chrome, Edge e Brave.

Diferentemente dos ladrões de informações convencionais, esta variante exibe maior sofisticação ao aproveitar a API Slack para comunicações secretas. A escolha do Slack como canal de comunicação está alinhada com seu uso generalizado em redes corporativas, permitindo que atividades maliciosas se misturem perfeitamente com o tráfego comercial regular.

O Go Stealer identificado, distribuído por meio do arquivo ZIP enganoso denominado "SU-30_Aircraft_Procurement", representa uma ameaça significativa ao pessoal de defesa indiano. O momento do ataque, coincidindo com o anúncio do governo indiano da aquisição de caças Su-30 MKI, levanta preocupações sobre ataques direcionados ou atividades de espionagem.