Исследователи компании Volexity обнаружили новую кампанию северокорейской хакерской группировки Kimsuky, которая использует вредоносное расширение для браузера, чтобы перехватывать и красть переписку жертв. Впервые активность зафиксировали ещё в сентябре, а расширению дали имя SHARPEXT.
Какие браузеры под угрозой
SHARPEXT совместимо с тремя браузерами на движке Chromium:
- Google Chrome;
- Microsoft Edge;
- Whale (южнокорейский браузер от Naver).
Расширение способно красть почту не только из корпоративных или личных ящиков на базе этих браузеров, но и напрямую из аккаунтов Gmail и AOL.
Как происходит заражение
Чтобы попасть на компьютер жертвы, злоумышленники сначала компрометируют систему с помощью кастомного VBS-скрипта. Уже после этого они устанавливают само расширение, подменяя два системных файла браузера — Preferences и Secure Preferences — версиями, загруженными с управляющего сервера (C2) атакующих.
По данным Volexity, аналогичные кампании с использованием SHARPEXT Kimsuky уже проводила против целей в США, Европе и Южной Корее.
Почему атаку трудно заметить
Главная опасность SHARPEXT в том, что оно использует уже открытую и авторизованную сессию жертвы в почтовом сервисе — то есть не требует отдельного входа в аккаунт и не выглядит для почтового провайдера как подозрительная активность. Из-за этого системы оповещения о подозрительных входах не срабатывают, и даже если жертва проверит страницу статуса безопасности своего почтового аккаунта, никаких предупреждений там не увидит.
Что именно похищают злоумышленники
Расширение обладает широким набором функций для скрытого сбора данных. Оно способно:
- составлять список ранее собранных писем жертвы;
- собирать домены, с которыми переписывался пользователь;
- формировать чёрный список отправителей;
- добавлять новые домены в список просмотренных жертвой;
- загружать новые вложения на удалённый сервер атакующих;
- выгружать данные из Gmail на сервер злоумышленников;
- по команде оператора получать список вложений для последующей кражи;
- выгружать данные из AOL на удалённый сервер.
Рекомендации по защите
Volexity советует организациям, особенно тем, чьи сотрудники относятся к группе повышенного риска (журналисты, дипломаты, исследователи, связанные с Северной Кореей), принять следующие меры:
- включить логирование PowerShell ScriptBlock;
- регулярно анализировать эти логи на предмет подозрительных сценариев;
- проверять список установленных расширений на машинах пользователей из групп риска;
- использовать YARA-правила для обнаружения связанной с SHARPEXT активности;
- блокировать индикаторы компрометации (IOC), опубликованные исследователями.
Источник: Cybersecurity News.