Atacantes desconocidos han dirigido sus esfuerzos hacia entidades gubernamentales y compañías energéticas en India mediante el uso de un malware de robo de información de código abierto llamado HackBrowserData. De acuerdo con el investigador de EclecticIQ, Arda Büyükkaya, el ataque comenzó a partir del 7 de marzo de 2024, donde los atacantes utilizaron canales de Slack como puntos de exfiltración para subir documentos internos confidenciales, mensajes de correo electrónico privados y datos guardados en caché del navegador web. La campaña ha sido detectada por herramientas de defensa cibernética y nombrada como Operación FlightNight.
Se cree que las entidades gubernamentales en India relacionadas con comunicaciones electrónicas, gobernanza de TI y defensa nacional fueron afectadas. Además, las compañías energéticas privadas también han sido comprometidas, obteniendo los atacantes documentos financieros, detalles personales de los empleados, detalles sobre actividades de perforación en petróleo y gas, y 8.81 gigabytes de datos han sido extraídos a lo largo de la campaña.
La cadena de ataques comienza con un mensaje de phishing que contiene un archivo ISO «invite.iso,» el cual tiene un acceso directo de Windows (LNK) que desencadena la ejecución de un binario oculto («scholar.exe») presente dentro de la imagen del disco óptico montado.
Este malware es una versión alterada de HackBrowserData, que incorpora capacidades de sustracción de documentos, comunicación a través de Slack y evasión de la detección mediante técnicas de obturación. Los atacantes aprovechan el uso de Slack, una herramienta de código abierto ampliamente utilizada en entornos empresariales, para volar fácilmente bajo el radar y reducir el tiempo y los costos de desarrollo.
La campaña GoStealer, desarrollada con Go, es similar a la Operación FlightNight y utiliza herramientas ofensivas de libre disponibilidad y reutilización de infraestructura legítima. La evolución del panorama de las amenazas cibernéticas requiere una mayor atención por parte de las organizaciones, ya que los actores amenazantes abusan de las herramientas y plataformas ofensivas de código abierto para lograr sus objetivos con un riesgo mínimo de detección y una inversión baja.
Vía The Hacker News
