Вредоносное ПО GoStealer нацелено на индийские военные
Исследователи безопасности раскрыли изощренный инцидент кибершпионажа, направленный против ВВС Индии. Кибератака на ВВС Индии включает в себя вариант известного Go Stealer — вредоносного программного обеспечения, созданного для незаметного извлечения конфиденциальной информации.
Вредоносное ПО, распространяемое через ZIP-файл с обманчивым названием «SU-30_Aircraft_Procurement», использует недавние объявления об оборонных закупках, в частности одобрение Министерства обороны Индии 12 истребителей Су-30 МКИ в сентябре 2023 года.
Согласно выводам Cyble Research and Intelligence Labs, злоумышленники реализуют свой план посредством тщательно спланированной серии шагов. Они используют анонимную платформу хранения файлов под названием Oshi для размещения обманного ZIP-файла, маскируя его под важную оборонную документацию. Ссылка «hxxps://oshi[.]at/ougg», скорее всего, распространяется через спам-сообщения или по другим каналам связи.
Последовательность заражения переходит от ZIP-файла к файлу ISO, за которым следует файл .lnk, что в конечном итоге приводит к развертыванию полезной нагрузки Go Stealer. Используя возросшую напряженность вокруг оборонных закупок, злоумышленники стремятся побудить специалистов ВВС Индии невольно активировать вредоносное ПО.
GoStealer получает обновление
Идентифицированный вариант Go Stealer, отличающийся от своего аналога на GitHub, демонстрирует расширенные функции, повышающие уровень угрозы. Этот вариант, написанный на языке программирования Go и основанный на Go Stealer с открытым исходным кодом из GitHub, содержит улучшения, включая расширенный таргетинг на браузер и новый метод кражи данных через Slack.
После выполнения похититель создает файл журнала в системе жертвы, используя для тщательного анализа инструменты GoLang, такие как GoReSym. Вредоносная программа тщательно разработана для извлечения учетных данных для входа и файлов cookie из определенных интернет-браузеров, включая Google Chrome, Edge и Brave.
В отличие от традиционных похитителей информации, этот вариант демонстрирует повышенную сложность за счет использования Slack API для скрытой связи. Выбор Slack в качестве канала связи обусловлен его широким использованием в корпоративных сетях, что позволяет вредоносным действиям легко смешиваться с обычным бизнес-трафиком.
Идентифицированный Go Stealer, распространяемый через вводящий в заблуждение ZIP-файл под названием «SU-30_Aircraft_Procurement», представляет собой серьезную угрозу для военнослужащих Индии. Время нападения, совпавшее с объявлением индийского правительства о закупке истребителей Су-30 МКИ, вызывает опасения по поводу целенаправленных атак или шпионской деятельности.