Севернокорейци крадат Gmail акаунти чрез Chrome

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Факти и данни

В съвместна консултация за киберсигурност на Федералната служба за защита на конституцията на Германия (BfV) и Националната разузнавателна служба на Република Корея (NIS) се предупреждава за използването от Kimsuky на разширения за Chrome за кражба на имейли от Gmail.

Kimsuky (известна още като Thallium, Velvet Chollima) е севернокорейска група за заплахи, която използва spear phishing за провеждане на кибершпионаж срещу дипломати, журналисти, правителствени агенции, университетски преподаватели и политици. Първоначално фокусирани върху цели в Южна Корея, хакерите с времето разширяват операциите си, за да атакуват структури в САЩ и Европа.

Съвместната консултация по сигурността беше публикувана, за да предупреди за два метода за атака, използвани от хакерската група – злонамерено разширение за Chrome и приложения за Android.

Макар че настоящата кампания е насочена към лица в Южна Корея, техниките, използвани от Kimsuky, могат да бъдат приложени в световен мащаб, така че повишаването на осведомеността е жизненоважно.

Кражба на имейли от Gmail

Атаката започва със спиър-фишинг имейл, в който жертвата се призовава да инсталира злонамерено разширение за Chrome, което ще се инсталира и в браузъри, базирани на Chromium, като Microsoft Edge или Brave.

Разширението е наречено „AF“ и може да бъде видяно в списъка с разширения само ако потребителят въведе „(chrome|edge|brave)://extensions“ в адресната лента на браузъра.

След като жертвата посети Gmail чрез заразения браузър, разширението се активира автоматично, за да прихване и открадне съдържанието на електронната поща на жертвата.

Разширението злоупотребява с Devtools API (API за инструменти за разработчици) на браузъра, за да изпрати откраднатите данни до релейния сървър на нападателя, като по този начин скрито открадва имейлите им, без да нарушава или заобикаля защитите за сигурност на акаунта.

Това не е първият случай, в който Kimsuky използва злонамерени разширения за Chrome, за да краде имейли от пробити системи.

През юли 2022 г. Volexity съобщи за подобна кампания, при която е използвано разширение, наречено „SHARPEXT“. През декември 2018 г. Netscout съобщи, че Kimsuky е следвал същата тактика срещу цели от академичните среди.

Този път хешовете на злонамерените файлове, които Kimsuky използва в последните си атаки, са следните:

  • 012D5FFE697E33D81B9E7447F4AA338B (manifest.json)
  • 582A033DA897C967FAADE386AC30F604 (bg.js)
  • 51527624E7921A8157F820EB0CA78E29 (dev.js)

Зловреден софтуер за Android

Зловредният софтуер за Android, използван от Kimsuky, е наречен „FastViewer“, „Fastfire“ или „Fastspy DEX“ и е известен от октомври 2022 г., когато е забелязан да се маскира като приставка за сигурност или програма за преглед на документи.

Въпреки това корейската фирма за киберсигурност AhnLab, съобщава, че хакерите са актуализирали FastViewer през декември 2022 г., така че са продължили да използват зловредния софтуер, след като хешовете му са били публично съобщени.

Атаката се развива с влизане на Kimsuky в профила на жертвата в Google, който преди това са откраднали чрез фишинг имейли или по друг начин.

След това хакерите злоупотребяват с функцията за синхронизация между уеб и телефон на Google Play, която позволява на потребителите да инсталират приложения на свързаните с тях устройства от своя компютър (уебсайта на Play Store), за да инсталират зловредния софтуер.

Зловредното приложение, което нападателите искат от Google Play да инсталира на устройството на жертвата, е представено на сайта за разработчици на конзолата на Google Play за „само вътрешно тестване“ и се предполага, че устройството на жертвата е добавено като цел за тестване.

Тази техника не би работила за широкомащабни инфекции, но е изключителна и доста скрита, когато става въпрос за операции с тесни цели като тези, провеждани от Kimsuky.

Зловредният софтуер за Android е инструмент RAT (троянски кон за отдалечен достъп), който позволява на хакерите да пускат, създават, изтриват или крадат файлове, да получават списъци с контакти, да извършват обаждания, да наблюдават или изпращат SMS-и, да активират камерата, да извършват кийлогване и да преглеждат работния плот.

Тъй като Kimsuky продължава да развива тактиката си и да разработва по-сложни методи за компрометиране на акаунти в Gmail, физическите лица и организациите трябва да останат бдителни и да прилагат надеждни мерки за сигурност.

Това включва поддържане на актуален софтуер, предпазливост по отношение на неочаквани имейли или връзки и редовно наблюдение на акаунтите за подозрителна активност.

 

 

 

#атаки
По материали от Интернет

Подобни

Глобален срив на X
17.02.2026
ai-generated-8223753_640
NASA тества ИИ за автономна навигация на Марс
17.02.2026
wikiimages-mars-67522_640
Claude на Anthropic и военните операции на САЩ
17.02.2026
pentagon-US-defense
ЕК одобри придобиването на Wiz от Google
16.02.2026
Wiz-Google
Кибератаките – водещият риск за Г-7
16.02.2026
webinar_AI_in_Cybersecurity_Q1_BLOG_735x416_px
Airbnb залага на ИИ като личен асистент
16.02.2026
freestocks-photos-airbnb-2941142_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.