У хакеров, поддерживаемых Северной Кореей, есть хитрый способ читать почту Gmail
У хакеров, поддерживаемых Северной Кореей, есть хитрый способ читать почту Gmail
Expand
Гетти Изображений
Исследователи обнаружили невиданное ранее вредоносное ПО, которое северокорейские хакеры используют для тайного чтения и загрузки электронных писем и вложений из учетных записей Gmail и AOL зараженных пользователей.
Вредоносное ПО, получившее название SHARPEXT от исследователей компании Volexity, занимающейся безопасностью, использует хитроумные средства для установки расширения браузера для браузеров Chrome и Edge, сообщается в блоге Volexity. Расширение не может быть обнаружено службами электронной почты, а поскольку браузер уже прошел проверку подлинности с использованием всех существующих средств защиты многофакторной проверки подлинности, эта все более популярная мера безопасности не играет никакой роли в рамках ограничения на компрометацию учетной записи.
По словам Volexity, вредоносное ПО используется «значительно больше года» и является работой хакерской группы, которую компания отслеживает под названием SharpTongue. Группа спонсируется правительством Северной Кореи и пересекается с группой, отслеживаемой другими исследователями как Kimsuky. SHARPEXT нацелен на организации в США, Европе и Южной Корее, которые работают над ядерным оружием и другими вопросами, которые Северная Корея считает важными для своей национальной безопасности.
Президент Volexity Стивен Адэр сообщил в электронном письме, что расширение было установлено «с помощью целевого фишинга и социальной инженерии, когда жертву обманом заставляют открыть вредоносный документ. Ранее мы видели, как злоумышленники из КНДР запускали целевые фишинговые атаки, в которых вся цель состояла в том, чтобы обманом заставить жертву установить расширение для браузера, а не механизм пост-эксплуатации для сохранения и кражи данных». В своем нынешнем воплощении вредоносное ПО работает только в Windows, но Адэр сказал, что нет причин, по которым его нельзя распространить на браузеры под управлением macOS или Linux.
>
В сообщении в блоге добавлено: «Собственная видимость Volexity показывает, что расширение было весьма успешным, поскольку журналы, полученные Volexity, показывают, что злоумышленнику удалось украсть тысячи электронных писем от нескольких жертв путем развертывания вредоносного ПО».
Установить расширение браузера во время фишинговой операции так, чтобы конечный пользователь не заметил этого, непросто. Разработчики SHARPEXT явно обратили внимание на исследования, подобные опубликованным здесь, здесь и здесь, которые показывают, как механизм безопасности в движке браузера Chromium предотвращает изменение конфиденциальных пользовательских настроек вредоносными программами. Каждый раз, когда вносятся законные изменения, браузер берет криптографический хэш некоторой части кода. При запуске браузер проверяет хэши, и если какие-то из них не совпадают, браузер запрашивает восстановление старых настроек.
Увеличить
Адлис
Чтобы обойти эту защиту, злоумышленники должны сначала извлечь из компрометируемого компьютера следующее:
Копия файла resources.pak браузера (который содержит начальное число HMAC, используемое Chrome).
Значение S-ID пользователя
Исходные системные настройки пользователя и защищенные файлы настроек
После изменения файлов настроек SHARPEXT автоматически загружает расширение и запускает сценарий PowerShell, который включает DevTools, параметр, позволяющий браузеру запускать пользовательский код и настройки.
Исследователи обнаружили невиданное ранее вредоносное ПО, которое северокорейские хакеры используют для тайного чтения и загрузки электронных писем и вложений из учетных записей Gmail и AOL зараженных пользователей.
Вредоносное ПО, получившее название SHARPEXT от исследователей компании Volexity, занимающейся безопасностью, использует хитроумные средства для установки расширения браузера для браузеров Chrome и Edge, сообщается в блоге Volexity. Расширение не может быть обнаружено службами электронной почты, а поскольку браузер уже прошел проверку подлинности с использованием всех существующих средств защиты многофакторной проверки подлинности, эта все более популярная мера безопасности не играет никакой роли в рамках ограничения на компрометацию учетной записи.
По словам Volexity, вредоносное ПО используется «значительно больше года» и является работой хакерской группы, которую компания отслеживает под названием SharpTongue. Группа спонсируется правительством Северной Кореи и пересекается с группой, отслеживаемой другими исследователями как Kimsuky. SHARPEXT нацелен на организации в США, Европе и Южной Корее, которые работают над ядерным оружием и другими вопросами, которые Северная Корея считает важными для своей национальной безопасности.
Президент Volexity Стивен Адэр сообщил в электронном письме, что расширение было установлено «с помощью целевого фишинга и социальной инженерии, когда жертву обманом заставляют открыть вредоносный документ. Ранее мы видели, как злоумышленники из КНДР запускали целевые фишинговые атаки, в которых вся цель состояла в том, чтобы обманом заставить жертву установить расширение для браузера, а не механизм пост-эксплуатации для сохранения и кражи данных». В своем нынешнем воплощении вредоносное ПО работает только в Windows, но Адэр сказал, что нет причин, по которым его нельзя распространить на браузеры под управлением macOS или Linux.
>
В сообщении в блоге добавлено: «Собственная видимость Volexity показывает, что расширение было весьма успешным, поскольку журналы, полученные Volexity, показывают, что злоумышленнику удалось украсть тысячи электронных писем от нескольких жертв путем развертывания вредоносного ПО».
Установить расширение браузера во время фишинговой операции так, чтобы конечный пользователь не заметил этого, непросто. Разработчики SHARPEXT явно обратили внимание на исследования, подобные опубликованным здесь, здесь и здесь, которые показывают, как механизм безопасности в движке браузера Chromium предотвращает изменение конфиденциальных пользовательских настроек вредоносными программами. Каждый раз, когда вносятся законные изменения, браузер берет криптографический хэш некоторой части кода. При запуске браузер проверяет хэши, и если какие-то из них не совпадают, браузер запрашивает восстановление старых настроек.
Увеличить
Адлис
Чтобы обойти эту защиту, злоумышленники должны сначала извлечь из компрометируемого компьютера следующее:
Копия файла resources.pak браузера (который содержит начальное число HMAC, используемое Chrome).
Значение S-ID пользователя
Исходные системные настройки пользователя и защищенные файлы настроек
После изменения файлов настроек SHARPEXT автоматически загружает расширение и запускает сценарий PowerShell, который включает DevTools, параметр, позволяющий браузеру запускать пользовательский код и настройки.
Expand
Гетти Изображений
Увеличить
Адлис
