GoStealer Malware riktar sig till indisk militär

En sofistikerad cyberspionageincident riktad mot det indiska flygvapnet har avslöjats av säkerhetsforskare. Cyberattacken mot det indiska flygvapnet involverar en variant av den välkända Go Stealer, en skadlig programvara utformad för att diskret extrahera känslig information.

Skadlig programvara, distribuerad via en vilseledande ZIP-fil, märkt "SU-30_Aircraft_Procurement", utnyttjar senaste försvarsupphandlingsmeddelanden, särskilt godkännandet av 12 Su-30 MKI-stridsflygplan av det indiska försvarsministeriet i september 2023.

Enligt resultat från Cyble Research and Intelligence Labs, genomför angriparna sin plan genom en noggrant orkestrerad serie steg. De använder en anonym fillagringsplattform som heter Oshi för att vara värd för den vilseledande ZIP-filen, och maskerar den som en viktig försvarsdokumentation. Länken "hxxps://oshi[.]at/ougg" sprids sannolikt via spam-e-postmeddelanden eller andra kommunikationskanaler.

Infektionssekvensen går från en ZIP-fil till en ISO-fil, följt av en .lnk-fil, vilket i slutändan leder till distributionen av Go Stealer-nyttolasten. Angriparna utnyttjar den ökade spänningen kring försvarsupphandling och försöker locka proffs från det indiska flygvapnet att omedvetet aktivera skadlig programvara.

GoStealer får en uppgradering

Den identifierade Go Stealer-varianten, skild från sin GitHub-motsvarighet, visar upp avancerade funktioner som höjer dess hotnivå. Kodad i programmeringsspråket Go och baserad på en öppen källkod Go Stealer från GitHub, introducerar denna variant förbättringar, inklusive utökad webbläsarinriktning och en ny metod för dataexfiltrering genom Slack.

Vid avrättning genererar stjälaren en loggfil på offrets system, med hjälp av GoLang-verktyg som GoReSym för grundlig analys. Skadlig programvara är intrikat utformad för att extrahera inloggningsuppgifter och cookies från specifika webbläsare, inklusive Google Chrome, Edge och Brave.

I en avvikelse från konventionella informationsstöldare visar denna variant ökad sofistikering genom att utnyttja Slack API för hemlig kommunikation. Valet av Slack som kommunikationskanal överensstämmer med dess utbredda användning i företagsnätverk, vilket gör att skadliga aktiviteter sömlöst kan blandas med vanlig affärstrafik.

Den identifierade Go Stealer, som distribueras genom den vilseledande ZIP-filen med namnet "SU-30_Aircraft_Procurement", utgör ett betydande hot mot indisk försvarspersonal. Tidpunkten för attacken, som sammanfaller med den indiska regeringens tillkännagivande av Su-30 MKI stridsflygplan, väcker oro för riktade attacker eller spionageaktiviteter.