Μια ομάδα απειλών από τη Βόρεια Κορέα χρησιμοποιεί μια κακόβουλη επέκταση browser (που έχει ονομαστεί SHARPEXT από ερευνητές) για να κλέβει emails από χρήστες του Google Chrome ή του Microsoft Edge που διαβάζουν το webmail τους.
Η επέκταση ονομάστηκε SHARPEXT από τους ερευνητές της Volexity που εντόπισαν αυτήν την καμπάνια τον Σεπτέμβριο και υποστηρίζει τρία προγράμματα περιήγησης που βασίζονται στο Chromium (Chrome, Edge και Whale). Σύμφωνα με τους ερευνητές, μπορεί να κλέψει αλληλογραφία από λογαριασμούς Gmail και AOL.
Δείτε επίσης: Microsoft: Windows, Adobe zero-day exploits για ανάπτυξη του Subzero
Η hacking ομάδα, που παρακολουθείται ως Kimsuky, εγκαθιστά την κακόβουλη επέκταση του browser αφού θέσει σε κίνδυνο το σύστημα του στόχου χρησιμοποιώντας ένα custom VBS script, αντικαθιστώντας τα αρχεία “Preferences” και “Secure Preferences” με αυτά που έχουν ληφθεί από τον command-and-control server του κακόβουλου λογισμικού.
 για να κλέβει emails){kind=link}
Μόλις ληφθούν τα νέα preferences files στη μολυσμένη συσκευή, το πρόγραμμα περιήγησης φορτώνει αυτόματα την επέκταση SHARPEXT.
“Το κακόβουλο λογισμικό ελέγχει απευθείας και κλέβει δεδομένα από τον λογαριασμό ηλεκτρονικού ταχυδρομείου ενός θύματος καθώς περιηγείται σε αυτόν“, δήλωσε η Volexity.
“Από την ανακάλυψή της, η επέκταση έχει εξελιχθεί και βρίσκεται επί του παρόντος στην έκδοση 3.0, με βάση το εσωτερικό σύστημα εκδόσεων“.
Δείτε επίσης: Robin Banks: Νέα phishing υπηρεσία στοχεύει πελάτες μεγάλων τραπεζών
Σύμφωνα με τους ερευνητές, η τελευταία αυτή εκστρατεία μοιάζει με προηγούμενες επιθέσεις της hacking ομάδας Kimsuky, καθώς οι hackers έχουν επίσης αναπτύξει την επέκταση browser SHARPEXT “σε στοχευμένες επιθέσεις κατά ατόμων και οργανισμών που ασχολούνται με την εξωτερική πολιτική και τα πυρηνικά και κατά άλλων ατόμων στρατηγικού ενδιαφέροντος” στις Ηνωμένες Πολιτείες, την Ευρώπη και τη Νότια Κορέα.
Εξαιρετικά αποτελεσματικές επιθέσεις
Εκμεταλλευόμενη το ήδη logged-in session του στόχου για την κλοπή email, η επίθεση παραμένει απαρατήρητη από τον πάροχο email του θύματος, καθιστώντας έτσι την ανίχνευση πολύ δύσκολη (αν όχι αδύνατη).
Επιπλέον, το workflow της επέκτασης δεν ενεργοποιεί ειδοποιήσεις ύποπτης δραστηριότητας στους λογαριασμούς των θυμάτων, το οποίο σημαίνει ότι η κακόβουλη δραστηριότητα δεν αποκαλύπτεται με τον απλό έλεγχο του status page του λογαριασμού webmail για ειδοποιήσεις.
Οι hackers από τη Βόρεια Κορέα χρησιμοποιούν την επέκταση SHARPEXT για να συλλέξουν ένα ευρύ φάσμα πληροφοριών χρησιμοποιώντας εντολές που:
- Καταχωρούν τα email που έχουν συλλεχθεί προηγουμένως από το θύμα για να διασφαλιστεί ότι δεν θα ανέβουν διπλότυπα. Αυτή η λίστα ενημερώνεται συνεχώς καθώς εκτελείται η επέκταση SHARPEXT.
- Καταγράφουν τα email domains με τα οποία το θύμα έχει επικοινωνήσει στο παρελθόν. Και αυτή η λίστα ενημερώνεται συνεχώς καθώς εκτελείται η κακόβουλη επέκταση browser SHARPEXT.
- Δημιουργούν μια μαύρη λίστα αποστολέων email που θα πρέπει να αγνοούνται κατά τη συλλογή emails από το θύμα.
- Προσθέτουν ένα domain στη λίστα όλων των domains που προβάλλονται από το θύμα.
- Μεταφορτώνουν ένα νέο συνημμένο στον απομακρυσμένο διακομιστή.
- Μεταφορτώνουν δεδομένα Gmail στον απομακρυσμένο διακομιστή.
- Μεταφορτώνουν δεδομένα AOL στον απομακρυσμένο διακομιστή.
- Λαμβάνουν μια λίστα συνημμένων προς εξαγωγή.
Δεν είναι η πρώτη φορά που η συγκεκριμένη ομάδα από τη Βόρεια Κορέα χρησιμοποιεί μια κακόβουλη επέκταση browser για να συλλέξει εμπιστευτικά δεδομένα από παραβιασμένα συστήματα στόχων.
Δείτε επίσης: Επίθεση ransomware αποτράπηκε μόνο και μόνο επειδή το επιδιωκόμενο θύμα χρησιμοποιούσε MFA
Όπως είπε η ομάδα ASERT της Netscout τον Δεκέμβριο του 2018, μια καμπάνια spear-phishing που ενορχηστρώθηκε από την Kimsuky, προωθούσε μια κακόβουλη επέκταση του Chrome browser από τον Μάιο του 2018 σε επιθέσεις που στόχευαν μεγάλο αριθμό ακαδημαϊκών οντοτήτων σε πολλά πανεπιστήμια.
Η CISA έχει επίσης εκδώσει μια προειδοποίηση σχετικά με την ομάδα και τις τακτικές που χρησιμοποιεί και έχει τονίσει τη χρήση κακόβουλων επεκτάσεων για την κλοπή credentials και cookies από τα προγράμματα περιήγησης των θυμάτων.
Δείτε περισσότερες λεπτομέρειες στην έκθεση της Volexity.
Πηγή: www.bleepingcomputer.com