В съвместна консултация за киберсигурност на Федералната служба за защита на конституцията на Германия (BfV) и Националната разузнавателна служба на Република Корея (NIS) се предупреждава за използването от Kimsuky на разширения за Chrome за кражба на имейли от Gmail.

Kimsuky (известна още като Thallium, Velvet Chollima) е севернокорейска група за заплахи, която използва spear phishing за провеждане на кибершпионаж срещу дипломати, журналисти, правителствени агенции, университетски преподаватели и политици. Първоначално фокусирани върху цели в Южна Корея, хакерите с времето разширяват операциите си, за да атакуват структури в САЩ и Европа.

Съвместната консултация по сигурността беше публикувана, за да предупреди за два метода за атака, използвани от хакерската група – злонамерено разширение за Chrome и приложения за Android.

Макар че настоящата кампания е насочена към лица в Южна Корея, техниките, използвани от Kimsuky, могат да бъдат приложени в световен мащаб, така че повишаването на осведомеността е жизненоважно.

Кражба на имейли от Gmail

Атаката започва със спиър-фишинг имейл, в който жертвата се призовава да инсталира злонамерено разширение за Chrome, което ще се инсталира и в браузъри, базирани на Chromium, като Microsoft Edge или Brave.

Разширението е наречено „AF“ и може да бъде видяно в списъка с разширения само ако потребителят въведе „(chrome|edge|brave)://extensions“ в адресната лента на браузъра.

След като жертвата посети Gmail чрез заразения браузър, разширението се активира автоматично, за да прихване и открадне съдържанието на електронната поща на жертвата.

Разширението злоупотребява с Devtools API (API за инструменти за разработчици) на браузъра, за да изпрати откраднатите данни до релейния сървър на нападателя, като по този начин скрито открадва имейлите им, без да нарушава или заобикаля защитите за сигурност на акаунта.

Това не е първият случай, в който Kimsuky използва злонамерени разширения за Chrome, за да краде имейли от пробити системи.

През юли 2022 г. Volexity съобщи за подобна кампания, при която е използвано разширение, наречено „SHARPEXT“. През декември 2018 г. Netscout съобщи, че Kimsuky е следвал същата тактика срещу цели от академичните среди.

Този път хешовете на злонамерените файлове, които Kimsuky използва в последните си атаки, са следните:

  • 012D5FFE697E33D81B9E7447F4AA338B (manifest.json)
  • 582A033DA897C967FAADE386AC30F604 (bg.js)
  • 51527624E7921A8157F820EB0CA78E29 (dev.js)

Зловреден софтуер за Android

Зловредният софтуер за Android, използван от Kimsuky, е наречен „FastViewer“, „Fastfire“ или „Fastspy DEX“ и е известен от октомври 2022 г., когато е забелязан да се маскира като приставка за сигурност или програма за преглед на документи.

Въпреки това корейската фирма за киберсигурност AhnLab, съобщава, че хакерите са актуализирали FastViewer през декември 2022 г., така че са продължили да използват зловредния софтуер, след като хешовете му са били публично съобщени.

Атаката се развива с влизане на Kimsuky в профила на жертвата в Google, който преди това са откраднали чрез фишинг имейли или по друг начин.

След това хакерите злоупотребяват с функцията за синхронизация между уеб и телефон на Google Play, която позволява на потребителите да инсталират приложения на свързаните с тях устройства от своя компютър (уебсайта на Play Store), за да инсталират зловредния софтуер.

Зловредното приложение, което нападателите искат от Google Play да инсталира на устройството на жертвата, е представено на сайта за разработчици на конзолата на Google Play за „само вътрешно тестване“ и се предполага, че устройството на жертвата е добавено като цел за тестване.

Тази техника не би работила за широкомащабни инфекции, но е изключителна и доста скрита, когато става въпрос за операции с тесни цели като тези, провеждани от Kimsuky.

Зловредният софтуер за Android е инструмент RAT (троянски кон за отдалечен достъп), който позволява на хакерите да пускат, създават, изтриват или крадат файлове, да получават списъци с контакти, да извършват обаждания, да наблюдават или изпращат SMS-и, да активират камерата, да извършват кийлогване и да преглеждат работния плот.

Тъй като Kimsuky продължава да развива тактиката си и да разработва по-сложни методи за компрометиране на акаунти в Gmail, физическите лица и организациите трябва да останат бдителни и да прилагат надеждни мерки за сигурност.

Това включва поддържане на актуален софтуер, предпазливост по отношение на неочаквани имейли или връзки и редовно наблюдение на акаунтите за подозрителна активност.

 

 

 

Източник: По материали от Интернет

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
06/01/2025

Фалшивите CAPTCHA атаки нар...

Експерти по сигурността предупреждават, че през...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!