Северокорейские хакеры воруют почту через вредоносное расширение для Chrome

Исследователи компании Volexity обнаружили новую кампанию северокорейской хакерской группировки Kimsuky, которая использует вредоносное расширение для браузера, чтобы перехватывать и красть переписку жертв. Впервые активность зафиксировали ещё в сентябре, а расширению дали имя SHARPEXT.

Какие браузеры под угрозой

SHARPEXT совместимо с тремя браузерами на движке Chromium:

  • Google Chrome;
  • Microsoft Edge;
  • Whale (южнокорейский браузер от Naver).

Расширение способно красть почту не только из корпоративных или личных ящиков на базе этих браузеров, но и напрямую из аккаунтов Gmail и AOL.

Как происходит заражение

Чтобы попасть на компьютер жертвы, злоумышленники сначала компрометируют систему с помощью кастомного VBS-скрипта. Уже после этого они устанавливают само расширение, подменяя два системных файла браузера — Preferences и Secure Preferences — версиями, загруженными с управляющего сервера (C2) атакующих.

По данным Volexity, аналогичные кампании с использованием SHARPEXT Kimsuky уже проводила против целей в США, Европе и Южной Корее.

Почему атаку трудно заметить

Главная опасность SHARPEXT в том, что оно использует уже открытую и авторизованную сессию жертвы в почтовом сервисе — то есть не требует отдельного входа в аккаунт и не выглядит для почтового провайдера как подозрительная активность. Из-за этого системы оповещения о подозрительных входах не срабатывают, и даже если жертва проверит страницу статуса безопасности своего почтового аккаунта, никаких предупреждений там не увидит.

Что именно похищают злоумышленники

Расширение обладает широким набором функций для скрытого сбора данных. Оно способно:

  • составлять список ранее собранных писем жертвы;
  • собирать домены, с которыми переписывался пользователь;
  • формировать чёрный список отправителей;
  • добавлять новые домены в список просмотренных жертвой;
  • загружать новые вложения на удалённый сервер атакующих;
  • выгружать данные из Gmail на сервер злоумышленников;
  • по команде оператора получать список вложений для последующей кражи;
  • выгружать данные из AOL на удалённый сервер.

Рекомендации по защите

Volexity советует организациям, особенно тем, чьи сотрудники относятся к группе повышенного риска (журналисты, дипломаты, исследователи, связанные с Северной Кореей), принять следующие меры:

  • включить логирование PowerShell ScriptBlock;
  • регулярно анализировать эти логи на предмет подозрительных сценариев;
  • проверять список установленных расширений на машинах пользователей из групп риска;
  • использовать YARA-правила для обнаружения связанной с SHARPEXT активности;
  • блокировать индикаторы компрометации (IOC), опубликованные исследователями.

Источник: Cybersecurity News.