Η Γερμανική Ομοσπονδιακή Υπηρεσία Προστασίας του Συντάγματος (BfV) και η Εθνική Υπηρεσία Πληροφοριών (NIS) της Νότιας Κορέας εξέδωσαν κοινή προειδοποίηση σχετικά με την κακόβουλη χρήση επεκτάσεων Chrome από τον απειλητικό παράγοντα Kimsuky για την κλοπή Gmail email από ανυποψίαστους στόχους.
Η Kimsuky, επίσης γνωστή ως Thallium και Velvet Chollima, έχει αναγνωριστεί ως απειλητική ομάδα της Βόρειας Κορέας που χρησιμοποιεί τακτικές spear phishing για να θέσει σε κίνδυνο την ψηφιακή ασφάλεια διπλωματών σε όλες τις ηπείρους. Αυτή η κακόβουλη οργάνωση ξεκίνησε να στοχεύει πολίτες στη Νότια Κορέα, αλλά τελικά μετατόπισε τις δραστηριότητές της και συμπεριέλαβε κυβερνητικές υπηρεσίες, στελέχη επιχειρήσεων, πολιτικούς και δημοσιογράφους από την Ευρώπη και τις Ηνωμένες Πολιτείες.
Για να ειδοποιηθεί το κοινό για δύο μεθόδους επίθεσης που χρησιμοποιούνται από μια συγκεκριμένη ομάδα χάκερ, εκδόθηκε μια κοινή συμβουλευτική ασφαλείας – που αφορά κακόβουλη επέκταση του Chrome και εφαρμογές Android.
Αν και η εκστρατεία επικεντρώνεται σε άτομα στη Νότια Κορέα, οι μέθοδοι της Kimsuky μπορούν να προσαρμοστούν σε οποιοδήποτε μέρος του κόσμου. Ως εκ τούτου, είναι σημαντικό να ευαισθητοποιήσουμε την κοινή γνώμη για το πρόβλημα αυτό σε παγκόσμιο επίπεδο.
Κλοπή των Gmail emails
Το τέχνασμα ξεκινά με ένα spear-phishing email που ζητά από το θύμα να κατεβάσει και να εγκαταστήσει μια κακόβουλη επέκταση του Chrome. Αυτό το σχέδιο λειτουργεί και για προγράμματα περιήγησης που βασίζονται στο Chromium, όπως ο Microsoft Edge ή ο Brave.
Η επέκταση ονομάζεται “AF” και μπορεί να εμφανιστεί στη λίστα επεκτάσεων μόνο εάν ο χρήστης πληκτρολογήσει “(chrome|edge| brave)://extensions” στη γραμμή διευθύνσεων του προγράμματος περιήγησης.
Όταν ένα ανυποψίαστο θύμα αποκτά πρόσβαση στο Gmail μέσω του κακόβουλου προγράμματος περιήγησης, ενεργοποιείται μια κρυφή επέκταση για να υποκλέψει το περιεχόμενο των email του.
Εκμεταλλευόμενοι το Devtools API στο πρόγραμμα περιήγησής τους, οι χάκερ είναι σε θέση να κλέβουν μηνύματα ηλεκτρονικού ταχυδρομείου από ανυποψίαστους χρήστες χωρίς να παραβιάζουν ή να παρακάμπτουν τα μέτρα ασφαλείας τους. Στη συνέχεια, τα δεδομένα αυτά αποστέλλονται κρυφά σε έναν διακομιστή κατ’ εντολή του επιτιθέμενου, αφήνοντας τα θύματα να μην γνωρίζουν ότι τους έχουν κλαπεί πληροφορίες.
Ο απειλητικός παράγοντας Kimsuky έχει τη φήμη ότι χρησιμοποιεί κακόβουλες επεκτάσεις Chrome για να κλέβει email από παραβιασμένα συστήματα, και αυτή είναι άλλη μια τέτοια περίπτωση.
Τον Ιούλιο του 2022, η Volexity εντόπισε μια παρόμοια εκστρατεία που χρησιμοποιούσε μια επέκταση γνωστή ως “SHARPEXT” – την ίδια τακτική με την οποία ο Kimsuky βρέθηκε να στοχεύει ακαδημαϊκούς φορείς τον Δεκέμβριο του 2018 σύμφωνα με το Netscout.
Αυτή τη φορά, τα hashes των κακόβουλων αρχείων που χρησιμοποιεί η Kimsuky στις τελευταίες επιθέσεις της είναι:
- 012D5FFE697E33D81B9E7447F4AA338B (manifest.json)
- 582A033DA897C967FAADE386AC30F604 (bg.js)
- 51527624E7921A8157F820EB0CA78E29 (dev.js)
Android malware
Το FastViewer, επίσης γνωστό ως Fastfire ή Fastspy DEX, είναι το κακόβουλο λογισμικό που χρησιμοποιείται από την Kimsuky και έχει εντοπιστεί από τον Οκτώβριο του 2022. Μεταμφιέζεται ως security plugin ή πρόγραμμα προβολής εγγράφων, προσπαθώντας να εξαπατήσει τα θύματα και να διεισδύσει στα συστήματά τους.
Παρ’ όλα αυτά, η AhnLab, ένας νοτιοκορεατικός οργανισμός κυβερνοασφάλειας, δήλωσε ότι οι κακόβουλοι φορείς βελτίωσαν το FastViewer τον Δεκέμβριο του 2022, ακόμη και μετά την έκθεση των hashes του.
Η Kimsuky ξεκινά την επίθεσή της συνδεόμενη σε έναν ήδη παραβιασμένο λογαριασμό Google, τον οποίο είχε αποκτήσει παράνομα μέσω ηλεκτρονικών μηνυμάτων ηλεκτρονικού “ψαρέματος” ή εναλλακτικών τακτικών.
Στη συνέχεια, οι χάκερς εκμεταλλεύονται τη λειτουργία συγχρονισμού web-to-phone του Google Play – που επιτρέπει στους χρήστες να εγκαταστήσουν εφαρμογές στις συνδεδεμένες συσκευές τους από τον υπολογιστή τους (ιστότοπος του Play Store) για να εγκαταστήσουν το κακόβουλο λογισμικό.
Η κακόβουλη εφαρμογή του επιτιθέμενου προορίζεται μόνο για “εσωτερικές δοκιμές” και υποβάλλεται στον ιστότοπο προγραμματιστών της κονσόλας Google Play. Προσθέτοντας ψευδώς τη συσκευή του θύματος ως στόχο δοκιμών, είναι σε θέση να την εγκαταστήσει χωρίς τη γνώση ή τη συγκατάθεσή του.
Ενώ αυτή η τεχνική μπορεί να μην είναι κατάλληλη για εκτεταμένες μολύνσεις, είναι απίστευτα ιδανική για τις στοχευμένες επιθέσεις που διαπράττει συχνά η ομάδα Kimsuky.
Μέσω του κακόβουλου λογισμικού Android, το οποίο είναι ένα εργαλείο RAT (Remote Access Trojan), οι χάκερ μπορούν να έχουν πρόσβαση στα δεδομένα των χρηστών και να εκτελούν κακόβουλες εργασίες, όπως η κλοπή αρχείων, η απόκτηση λιστών επαφών από τα τηλέφωνα και τους υπολογιστές των χρηστών, η παρακολούθηση των μηνυμάτων SMS που αποστέλλονται/λαμβάνονται από τους χρήστες, η ενεργοποίηση των καμερών των τηλεφώνων χωρίς άδεια για σκοπούς κατασκοπείας και η εφαρμογή keylogging.
Καθώς ο απειλητικός παράγοντας Kimsuky συνεχίζει να εξελίσσει τις τακτικές του και να αναπτύσσει πιο σύνθετους τρόπους διείσδυσης σε λογαριασμούς Gmail, είναι επιτακτική ανάγκη τα άτομα και οι οργανισμοί να παραμένουν προσεκτικοί και να αναπτύσσουν ορθά μέτρα ασφαλείας.
Βεβαιωθείτε ότι το λογισμικό σας ενημερώνεται τακτικά, παραμείνετε ενήμεροι για μηνύματα ηλεκτρονικού ταχυδρομείου ή συνδέσμους που φαίνονται ασυνήθιστοι και ελέγχετε συχνά τους λογαριασμούς σας για τυχόν ύποπτη δραστηριότητα, για να διατηρήσετε την ασφάλεια.
Πηγή πληροφοριών: bleepingcomputer.com
