Търсене
Close this search box.

Севернокорейци крадат Gmail акаунти чрез Chrome

В съвместна консултация за киберсигурност на Федералната служба за защита на конституцията на Германия (BfV) и Националната разузнавателна служба на Република Корея (NIS) се предупреждава за използването от Kimsuky на разширения за Chrome за кражба на имейли от Gmail.

Kimsuky (известна още като Thallium, Velvet Chollima) е севернокорейска група за заплахи, която използва spear phishing за провеждане на кибершпионаж срещу дипломати, журналисти, правителствени агенции, университетски преподаватели и политици. Първоначално фокусирани върху цели в Южна Корея, хакерите с времето разширяват операциите си, за да атакуват структури в САЩ и Европа.

Съвместната консултация по сигурността беше публикувана, за да предупреди за два метода за атака, използвани от хакерската група – злонамерено разширение за Chrome и приложения за Android.

Макар че настоящата кампания е насочена към лица в Южна Корея, техниките, използвани от Kimsuky, могат да бъдат приложени в световен мащаб, така че повишаването на осведомеността е жизненоважно.

Кражба на имейли от Gmail

Атаката започва със спиър-фишинг имейл, в който жертвата се призовава да инсталира злонамерено разширение за Chrome, което ще се инсталира и в браузъри, базирани на Chromium, като Microsoft Edge или Brave.

Разширението е наречено „AF“ и може да бъде видяно в списъка с разширения само ако потребителят въведе „(chrome|edge|brave)://extensions“ в адресната лента на браузъра.

След като жертвата посети Gmail чрез заразения браузър, разширението се активира автоматично, за да прихване и открадне съдържанието на електронната поща на жертвата.

Разширението злоупотребява с Devtools API (API за инструменти за разработчици) на браузъра, за да изпрати откраднатите данни до релейния сървър на нападателя, като по този начин скрито открадва имейлите им, без да нарушава или заобикаля защитите за сигурност на акаунта.

Това не е първият случай, в който Kimsuky използва злонамерени разширения за Chrome, за да краде имейли от пробити системи.

През юли 2022 г. Volexity съобщи за подобна кампания, при която е използвано разширение, наречено „SHARPEXT“. През декември 2018 г. Netscout съобщи, че Kimsuky е следвал същата тактика срещу цели от академичните среди.

Този път хешовете на злонамерените файлове, които Kimsuky използва в последните си атаки, са следните:

  • 012D5FFE697E33D81B9E7447F4AA338B (manifest.json)
  • 582A033DA897C967FAADE386AC30F604 (bg.js)
  • 51527624E7921A8157F820EB0CA78E29 (dev.js)

Зловреден софтуер за Android

Зловредният софтуер за Android, използван от Kimsuky, е наречен „FastViewer“, „Fastfire“ или „Fastspy DEX“ и е известен от октомври 2022 г., когато е забелязан да се маскира като приставка за сигурност или програма за преглед на документи.

Въпреки това корейската фирма за киберсигурност AhnLab, съобщава, че хакерите са актуализирали FastViewer през декември 2022 г., така че са продължили да използват зловредния софтуер, след като хешовете му са били публично съобщени.

Атаката се развива с влизане на Kimsuky в профила на жертвата в Google, който преди това са откраднали чрез фишинг имейли или по друг начин.

След това хакерите злоупотребяват с функцията за синхронизация между уеб и телефон на Google Play, която позволява на потребителите да инсталират приложения на свързаните с тях устройства от своя компютър (уебсайта на Play Store), за да инсталират зловредния софтуер.

Зловредното приложение, което нападателите искат от Google Play да инсталира на устройството на жертвата, е представено на сайта за разработчици на конзолата на Google Play за „само вътрешно тестване“ и се предполага, че устройството на жертвата е добавено като цел за тестване.

Тази техника не би работила за широкомащабни инфекции, но е изключителна и доста скрита, когато става въпрос за операции с тесни цели като тези, провеждани от Kimsuky.

Зловредният софтуер за Android е инструмент RAT (троянски кон за отдалечен достъп), който позволява на хакерите да пускат, създават, изтриват или крадат файлове, да получават списъци с контакти, да извършват обаждания, да наблюдават или изпращат SMS-и, да активират камерата, да извършват кийлогване и да преглеждат работния плот.

Тъй като Kimsuky продължава да развива тактиката си и да разработва по-сложни методи за компрометиране на акаунти в Gmail, физическите лица и организациите трябва да останат бдителни и да прилагат надеждни мерки за сигурност.

Това включва поддържане на актуален софтуер, предпазливост по отношение на неочаквани имейли или връзки и редовно наблюдение на акаунтите за подозрителна активност.

 

 

 

Източник: По материали от Интернет

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
Бъдете социални
Още по темата
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
21/06/2024

Хакери на Хамас шпионират П...

Хакери, свързани с Хамас, са замесени...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!