Хакеры используют расширения Chrome для кражи электронной почты Gmail

Хакеры используют расширения Chrome для кражи электронной почты Gmail. Фото: СС0

Kimsuky (она же Thallium, Velvet Chollima) - группа хакеров, которая использует целевой фишинг для ведения кибершпионажа.

Совместные рекомендации по безопасности были выпущены, чтобы предупредить о двух методах атаки, используемых хакерской группой — вредоносном расширении Chrome и приложениях для Android.

Хотя текущая кампания нацелена на людей в Южной Корее, методы, используемые Kimsuky, могут применяться во всем мире, поэтому повышение осведомленности имеет жизненно важное значение, утверждают в ведомстве.

Атака начинается с адресного фишингового электронного письма, призывающего жертву установить вредоносное расширение Chrome, которое также будет установлено в браузерах на основе Chromium, таких как Microsoft Edge или Brave.

Расширение называется «AF», и его можно увидеть в списке расширений только в том случае, если пользователь вводит «(chrome|edge|browse)://extensions» в адресной строке браузера.

Как только жертва посещает Gmail через зараженный браузер, расширение автоматически активируется для перехвата и кражи содержимого электронной почты жертвы.

Расширение злоупотребляет API Devtools (API инструментов разработчика) в браузере, чтобы отправлять украденные данные на сервер ретрансляции злоумышленника, незаметно похищая их электронные письма, не нарушая и не обходя средства защиты учетной записи.

Это не первый случай, когда Kimsuky использует вредоносные расширения Chrome для кражи электронной почты из взломанных систем.

В июле 2022 года компания Volexity сообщила об аналогичной кампании с использованием расширения под названием «SHARPEXT». В декабре 2018 года компания Netscout сообщила , что Kimsuky применяет ту же тактику против целей академических кругов.

Ведомства публикуют хэши вредоносных файлов, которые Kimsuky использует в своих последних атаках: 

• 012D5FFE697E33D81B9E7447F4AA338B (манифест.json)
• 582A033DA897C967FAADE386AC30F604 (bg.js)
• 51527624E7921A8157F820EB0CA78E29 (dev.js)

Вредоносное ПО для Android, используемое Kimsuky, называется FastViewer, Fastfire или Fastspy DEX и известно с октября 2022 года. Изначально оно маскировалось под плагин безопасности или средство просмотра документов.

Корейская компания по кибербезопасности AhnLab сообщает, что злоумышленники обновили FastViewer в декабре 2022 года и продолжали использовать вредоносное ПО после того, как его хэши были опубликованы.

Атака разворачивается, когда Kimsuky входит в учетную запись Google жертвы, которую они ранее украли с помощью фишинговых писем или других способов.

Затем хакеры злоупотребляют функцией синхронизации Интернета с телефоном в Google Play, которая позволяет пользователям устанавливать приложения на связанные устройства со своего компьютера (веб-сайт Play Store) для установки вредоносного ПО.

Вредоносное приложение, которое злоумышленники запрашивают в Google Play для установки на устройстве жертвы, отправляется на сайт разработчика консоли Google Play для «только внутреннего тестирования», а устройство жертвы предположительно добавляется в качестве цели тестирования.

Этот метод не подходит для крупномасштабных заражений, но он является исключительным и довольно незаметным, когда речь идет об операциях с узким таргетингом, подобных тем, которые проводит Kimsuky.

Вредоносное ПО для Android представляет собой инструмент RAT (троян удаленного доступа), позволяющий хакерам сбрасывать, создавать, удалять или красть файлы, получать списки контактов, совершать звонки, отслеживать или отправлять SMS, активировать камеру, выполнять кейлогинг и просматривать рабочий стол.

Поскольку Kimsuky продолжает развивать свою тактику и разрабатывать более изощренные методы взлома учетных записей Gmail, отдельные лица и организации должны сохранять бдительность и применять надежные меры безопасности.

Необходимо внимательно обновлять программное обеспечение, соблюдать осторожность в отношении неожиданных электронных писем или ссылок и проводить регулярный мониторинг учетных записей на предмет подозрительной активности.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Пользователи Google One получат VPN без дополнительной платы.
• Все больше компаний подвергаются взлому из-за недостатков удаленной работы.
• Разработчики Microsoft Excel сделали важный шаг в области защиты данных.