Севернокорейци крадат Gmail акаунти чрез Chrome

В съвместна консултация за киберсигурност на Федералната служба за защита на конституцията на Германия (BfV) и Националната разузнавателна служба на Република Корея (NIS) се предупреждава за използването от Kimsuky на разширения за Chrome за кражба на имейли от Gmail.

Kimsuky (известна още като Thallium, Velvet Chollima) е севернокорейска група за заплахи, която използва spear phishing за провеждане на кибершпионаж срещу дипломати, журналисти, правителствени агенции, университетски преподаватели и политици. Първоначално фокусирани върху цели в Южна Корея, хакерите с времето разширяват операциите си, за да атакуват структури в САЩ и Европа.

Съвместната консултация по сигурността беше публикувана, за да предупреди за два метода за атака, използвани от хакерската група – злонамерено разширение за Chrome и приложения за Android.

Макар че настоящата кампания е насочена към лица в Южна Корея, техниките, използвани от Kimsuky, могат да бъдат приложени в световен мащаб, така че повишаването на осведомеността е жизненоважно.

Кражба на имейли от Gmail

Атаката започва със спиър-фишинг имейл, в който жертвата се призовава да инсталира злонамерено разширение за Chrome, което ще се инсталира и в браузъри, базирани на Chromium, като Microsoft Edge или Brave.

Разширението е наречено „AF“ и може да бъде видяно в списъка с разширения само ако потребителят въведе „(chrome|edge|brave)://extensions“ в адресната лента на браузъра.

След като жертвата посети Gmail чрез заразения браузър, разширението се активира автоматично, за да прихване и открадне съдържанието на електронната поща на жертвата.

Разширението злоупотребява с Devtools API (API за инструменти за разработчици) на браузъра, за да изпрати откраднатите данни до релейния сървър на нападателя, като по този начин скрито открадва имейлите им, без да нарушава или заобикаля защитите за сигурност на акаунта.

Това не е първият случай, в който Kimsuky използва злонамерени разширения за Chrome, за да краде имейли от пробити системи.

През юли 2022 г. Volexity съобщи за подобна кампания, при която е използвано разширение, наречено „SHARPEXT“. През декември 2018 г. Netscout съобщи, че Kimsuky е следвал същата тактика срещу цели от академичните среди.

Този път хешовете на злонамерените файлове, които Kimsuky използва в последните си атаки, са следните:

  • 012D5FFE697E33D81B9E7447F4AA338B (manifest.json)
  • 582A033DA897C967FAADE386AC30F604 (bg.js)
  • 51527624E7921A8157F820EB0CA78E29 (dev.js)

Зловреден софтуер за Android

Зловредният софтуер за Android, използван от Kimsuky, е наречен „FastViewer“, „Fastfire“ или „Fastspy DEX“ и е известен от октомври 2022 г., когато е забелязан да се маскира като приставка за сигурност или програма за преглед на документи.

Въпреки това корейската фирма за киберсигурност AhnLab, съобщава, че хакерите са актуализирали FastViewer през декември 2022 г., така че са продължили да използват зловредния софтуер, след като хешовете му са били публично съобщени.

Атаката се развива с влизане на Kimsuky в профила на жертвата в Google, който преди това са откраднали чрез фишинг имейли или по друг начин.

След това хакерите злоупотребяват с функцията за синхронизация между уеб и телефон на Google Play, която позволява на потребителите да инсталират приложения на свързаните с тях устройства от своя компютър (уебсайта на Play Store), за да инсталират зловредния софтуер.

Зловредното приложение, което нападателите искат от Google Play да инсталира на устройството на жертвата, е представено на сайта за разработчици на конзолата на Google Play за „само вътрешно тестване“ и се предполага, че устройството на жертвата е добавено като цел за тестване.

Тази техника не би работила за широкомащабни инфекции, но е изключителна и доста скрита, когато става въпрос за операции с тесни цели като тези, провеждани от Kimsuky.

Зловредният софтуер за Android е инструмент RAT (троянски кон за отдалечен достъп), който позволява на хакерите да пускат, създават, изтриват или крадат файлове, да получават списъци с контакти, да извършват обаждания, да наблюдават или изпращат SMS-и, да активират камерата, да извършват кийлогване и да преглеждат работния плот.

Тъй като Kimsuky продължава да развива тактиката си и да разработва по-сложни методи за компрометиране на акаунти в Gmail, физическите лица и организациите трябва да останат бдителни и да прилагат надеждни мерки за сигурност.

Това включва поддържане на актуален софтуер, предпазливост по отношение на неочаквани имейли или връзки и редовно наблюдение на акаунтите за подозрителна активност.

 

 

 

Източник: По материали от Интернет

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
Бъдете социални
Още по темата
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
20/09/2023

Microsoft: Кибератаките "Pe...

Microsoft предупреждава, че глобална кампания за...
16/09/2023

Retool обвинява за нарушени...

Софтуерната компания Retool съобщава, че акаунтите...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!