L’attacco è stato distribuito tramite un file pdf di phishing camuffato da lettera di invito dell’aeronautica militare indiana. Sottratti 8,81 gigabyte di dati dagli obiettivi.
La società olandese di cybersecurity Eclecticiq ha reso noto che gli enti di governo e le aziende energetiche in India sono stati presi di mira da un gruppo di cybercriminali (non ancora indentificati), che hanno distribuito una nuova versione del malware HackBrowserData.
Un attacco informatico volto ad acquisire credenziali di accesso, cookie e cronologia di navigazione. Durante la campagna malevola sono stati sottratti 8,81 gigabyte di dati, mirando a ulteriori infiltrazioni nei sistemi governativi e nelle aziende energetiche del Paese (che, è opportuno ricordarlo, nell’arco di poco più di un decennio ha implementato l’ecosistema di Api, Application programming interface, denominato India Stack).
Attacco di phishing
Il malware HackBrowserData è stato diffuso attraverso una email di phishing; un messaggio di posta elettronica che, nel caso specifico, simulava una lettera di invito (in file pdf) dell’Indian Air Force, l’aeronautica militare indiana.
Con ogni probabilità, il pdf originale era stato veicolato dagli aggressori giù durante precedenti violazioni, per poi essere riutilizzato. All’atto pratico, nel momento in cui viene attivato il malware comincia a sottrare documenti interni confidenziali, messaggi di posta elettronica privati e dati del browser memorizzati nella cache. Quindi gli aggressori utilizzano i canali di un’infrastruttura legittima come Slack per caricare i documenti interni riservati e le email private. Osservata per la prima volta da Eclecticiq lo scorso 7 marzo – come precisa The Hacker News –, questa campagna è stata ribattezzata FlightNight.
Cybergang Lockbit in azione
A novembre scorso, sempre in India, i criminali informatici hanno aggiunto un’altra vittima all’ampia lista di aziende e organizzazioni colpite. Ad essere violato, in quel caso, è stato il National aerospace laboratories (Nal), la più grande società di ricerca aerospaziale indiana.
La gang ransomware Lockbit ha poi rivendicato il cyberattacco, minacciando di pubblicare sul dark web i dati rubati. Stando a quanto riporta TechCrunch, il collettivo aveva già fatto trapelare una parte dei dati esfiltrati – tra i quali alcune lettere riservate, il passaporto di un dipendente e ulteriori documenti interni –, per dimostrare di essere riuscito ad accedere ai server della società.