GoStealer 恶意软件针对印度军方

安全研究人员发现了一起针对印度空军的复杂网络间谍事件。针对印度空军的网络攻击涉及著名的 Go Stealer 的变种，这是一种旨在谨慎提取敏感信息的恶意软件。

该恶意软件通过一个名为“SU-30_Aircraft_Procurement”的欺骗性 ZIP 文件分发，利用了最近的国防采购公告，特别是印度国防部于 2023 年 9 月批准的 12 架 Su-30 MKI 战斗机。

根据 Cyble 研究和情报实验室的调查结果，攻击者通过一系列精心策划的步骤来执行他们的计划。他们利用名为 Oshi 的匿名文件存储平台来托管欺骗性 ZIP 文件，将其伪装成重要的国防文档。该链接“hxxps://oshi[.]at/ougg”可能通过垃圾邮件或其他通信渠道传播。

感染序列从 ZIP 文件发展到 ISO 文件，然后是 .lnk 文件，最终导致 Go Stealer 负载的部署。攻击者利用围绕国防采购的紧张局势，诱骗印度空军专业人员在不知情的情况下激活恶意软件。

GoStealer 获得升级

已识别的 Go Stealer 变体与 GitHub 上的变体不同，展示了可提升其威胁级别的高级功能。该变体采用 Go 编程语言编码，基于 GitHub 的开源 Go Stealer，引入了增强功能，包括扩展的浏览器目标和通过 Slack 进行数据泄露的新颖方法。

执行后，窃取者会在受害者的系统上生成一个日志文件，利用 GoReSym 等 GoLang 工具进行彻底分析。该恶意软件经过精心设计，旨在从特定互联网浏览器（包括 Google Chrome、Edge 和 Brave）中提取登录凭据和 cookie。

与传统的信息窃取程序不同，该变体通过利用 Slack API 进行秘密通信，显示出更高的复杂性。选择 Slack 作为通信渠道符合其在企业网络中的广泛使用，允许恶意活动与常规业务流量无缝混合。

已识别的 Go Stealer 通过名为“SU-30_Aircraft_Procurement”的误导性 ZIP 文件分发，对印度国防人员构成重大威胁。这次袭击的时间恰逢印度政府宣布采购 Su-30 MKI 战斗机，引发了人们对定向袭击或间谍活动的担忧。