Търсене
Close this search box.

Севернокорейци крадат Gmail акаунти чрез Chrome

В съвместна консултация за киберсигурност на Федералната служба за защита на конституцията на Германия (BfV) и Националната разузнавателна служба на Република Корея (NIS) се предупреждава за използването от Kimsuky на разширения за Chrome за кражба на имейли от Gmail.

Kimsuky (известна още като Thallium, Velvet Chollima) е севернокорейска група за заплахи, която използва spear phishing за провеждане на кибершпионаж срещу дипломати, журналисти, правителствени агенции, университетски преподаватели и политици. Първоначално фокусирани върху цели в Южна Корея, хакерите с времето разширяват операциите си, за да атакуват структури в САЩ и Европа.

Съвместната консултация по сигурността беше публикувана, за да предупреди за два метода за атака, използвани от хакерската група – злонамерено разширение за Chrome и приложения за Android.

Макар че настоящата кампания е насочена към лица в Южна Корея, техниките, използвани от Kimsuky, могат да бъдат приложени в световен мащаб, така че повишаването на осведомеността е жизненоважно.

Кражба на имейли от Gmail

Атаката започва със спиър-фишинг имейл, в който жертвата се призовава да инсталира злонамерено разширение за Chrome, което ще се инсталира и в браузъри, базирани на Chromium, като Microsoft Edge или Brave.

Разширението е наречено „AF“ и може да бъде видяно в списъка с разширения само ако потребителят въведе „(chrome|edge|brave)://extensions“ в адресната лента на браузъра.

След като жертвата посети Gmail чрез заразения браузър, разширението се активира автоматично, за да прихване и открадне съдържанието на електронната поща на жертвата.

Разширението злоупотребява с Devtools API (API за инструменти за разработчици) на браузъра, за да изпрати откраднатите данни до релейния сървър на нападателя, като по този начин скрито открадва имейлите им, без да нарушава или заобикаля защитите за сигурност на акаунта.

Това не е първият случай, в който Kimsuky използва злонамерени разширения за Chrome, за да краде имейли от пробити системи.

През юли 2022 г. Volexity съобщи за подобна кампания, при която е използвано разширение, наречено „SHARPEXT“. През декември 2018 г. Netscout съобщи, че Kimsuky е следвал същата тактика срещу цели от академичните среди.

Този път хешовете на злонамерените файлове, които Kimsuky използва в последните си атаки, са следните:

  • 012D5FFE697E33D81B9E7447F4AA338B (manifest.json)
  • 582A033DA897C967FAADE386AC30F604 (bg.js)
  • 51527624E7921A8157F820EB0CA78E29 (dev.js)

Зловреден софтуер за Android

Зловредният софтуер за Android, използван от Kimsuky, е наречен „FastViewer“, „Fastfire“ или „Fastspy DEX“ и е известен от октомври 2022 г., когато е забелязан да се маскира като приставка за сигурност или програма за преглед на документи.

Въпреки това корейската фирма за киберсигурност AhnLab, съобщава, че хакерите са актуализирали FastViewer през декември 2022 г., така че са продължили да използват зловредния софтуер, след като хешовете му са били публично съобщени.

Атаката се развива с влизане на Kimsuky в профила на жертвата в Google, който преди това са откраднали чрез фишинг имейли или по друг начин.

След това хакерите злоупотребяват с функцията за синхронизация между уеб и телефон на Google Play, която позволява на потребителите да инсталират приложения на свързаните с тях устройства от своя компютър (уебсайта на Play Store), за да инсталират зловредния софтуер.

Зловредното приложение, което нападателите искат от Google Play да инсталира на устройството на жертвата, е представено на сайта за разработчици на конзолата на Google Play за „само вътрешно тестване“ и се предполага, че устройството на жертвата е добавено като цел за тестване.

Тази техника не би работила за широкомащабни инфекции, но е изключителна и доста скрита, когато става въпрос за операции с тесни цели като тези, провеждани от Kimsuky.

Зловредният софтуер за Android е инструмент RAT (троянски кон за отдалечен достъп), който позволява на хакерите да пускат, създават, изтриват или крадат файлове, да получават списъци с контакти, да извършват обаждания, да наблюдават или изпращат SMS-и, да активират камерата, да извършват кийлогване и да преглеждат работния плот.

Тъй като Kimsuky продължава да развива тактиката си и да разработва по-сложни методи за компрометиране на акаунти в Gmail, физическите лица и организациите трябва да останат бдителни и да прилагат надеждни мерки за сигурност.

Това включва поддържане на актуален софтуер, предпазливост по отношение на неочаквани имейли или връзки и редовно наблюдение на акаунтите за подозрителна активност.

 

 

 

Източник: По материали от Интернет

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
28 февруари 2024

Предимства на включването на услугата MDR в офе...

Кибератаките се развиват и стават все по-усъвършенствани, а организ...
Бъдете социални
Още по темата
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
27/02/2024

ThyssenKrupp потвърждава ки...

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата...
23/02/2024

Новата ера в хактивизма

През последните две години наблюдаваме значително...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!