Technology

Von Nordkorea unterstützte Hacker haben eine clevere Möglichkeit, Ihre Google Mail zu lesen

Von Nordkorea unterstützte Hacker haben eine clevere Möglichkeit, Ihre Google Mail zu lesen
Written by admin

Von Nordkorea unterstützte Hacker haben eine clevere Möglichkeit, Ihre Google Mail zu lesen

Getty Images

Forscher entdeckten nie zuvor gesehene Malware, mit der nordkoreanische Hacker heimlich E-Mails und Anhänge von den Gmail- und AOL-Konten infizierter Benutzer gelesen und heruntergeladen haben.

Die Malware, die von Forschern der Sicherheitsfirma Volexity als SHARPEXT bezeichnet wird, verwendet clevere Mittel, um eine Browsererweiterung für die Browser Chrome und Edge zu installieren, berichtete Volexity in a Blogeintrag. Die Erweiterung kann von E-Mail-Diensten nicht erkannt werden, und da der Browser bereits mithilfe von Multi-Faktor-Authentifizierungsschutzmaßnahmen authentifiziert wurde, spielt diese immer beliebter werdende Sicherheitsmaßnahme keine Rolle bei der Eindämmung der Kompromittierung von Konten.

Die Malware wird seit „weit über einem Jahr“ verwendet, sagte Volexity, und es ist das Werk einer Gruppe von Hackern, die das Unternehmen als SharpTongue verfolgt. Die Gruppe wird von der nordkoreanischen Regierung gefördert und überschneidet sich mit aa Gruppe folgte als Kimsuky von anderen Forschern. SHARPEXT richtet sich an Organisationen in den Vereinigten Staaten, Europa und Südkorea, die an Atomwaffen und anderen Themen arbeiten, von denen Nordkorea glaubt, dass sie für seine nationale Sicherheit wichtig sind.

Der Präsident von Volexity, Steven Adair, sagte in einer E-Mail, dass die Erweiterung „durch Spear-Phishing und Social Engineering installiert wird, bei denen das Opfer dazu verleitet wird, ein bösartiges Dokument zu öffnen um das Opfer dazu zu bringen, eine Browsererweiterung zu installieren, anstatt ein Post-Exploitation-Mechanismus für Persistenz und Datendiebstahl zu sein. In ihrer aktuellen Version funktioniert die Malware nur unter Windows, aber Adair sagte, es gebe keinen Grund, warum sie nicht erweitert werden könne, um auch Browser zu infizieren, die unter macOS oder Linux laufen.

Der Blogbeitrag fügte hinzu: „Die Sichtbarkeit von Volexity zeigt, dass die Erweiterung ziemlich erfolgreich war, da von Volexity erhaltene Aufzeichnungen zeigen, dass der Angreifer Tausende von E-Mails von mehreren Opfern erfolgreich stehlen konnte. durch die Implementierung von Malware“.

Das Installieren einer Browsererweiterung während eines Phishing-Vorgangs, ohne dass der Endbenutzer es bemerkt, ist nicht einfach. Die SHARPEXT-Entwickler haben der Forschung eindeutig Aufmerksamkeit geschenkt als dem, was veröffentlicht wird hier, hierUnd hier, die zeigt, wie ein Sicherheitsmechanismus in der Chromium-Browser-Engine verhindert, dass Malware Änderungen an den sensiblen Einstellungen des Benutzers vornimmt. Immer wenn eine legitime Änderung vorgenommen wird, erwirbt der Browser einen kryptografischen Hash eines Teils des Codes. Beim Start überprüft der Browser die Hashes und wenn einer davon nicht übereinstimmt, fordert der Browser die Wiederherstellung der alten Einstellungen an.

Um diesen Schutz zu umgehen, müssen Angreifer zunächst Folgendes aus dem Computer extrahieren, den sie kompromittieren:

  • Eine Kopie der Datei „resources.pak“ aus dem Browser (die den von Chrome verwendeten HMAC-Seed enthält)
  • Der Nutzer S-ID-Wert
  • Die ursprünglichen Preferences- und Secure Preferences-Dateien aus dem System des Benutzers

Nach dem Bearbeiten der Einstellungsdateien lädt SHARPEXT automatisch die Erweiterung und führt ein PowerShell-Skript aus, das DevTools aktiviert, eine Einstellung, die es dem Browser ermöglicht, benutzerdefinierten Code und benutzerdefinierte Einstellungen auszuführen.

„Das Skript läuft in einer Endlosschleife und überprüft die mit den Zielbrowsern verbundenen Prozesse“, erklärt Volexity. „Wenn erkannt wird, dass ein gezielter Browser ausgeführt wird, überprüft das Skript den Tab-Titel auf ein bestimmtes Schlüsselwort (z. B. ‚05101190‘ oder ‚Tab +‘, je nach SHARPEXT-Version). aktive Tab-Wechsel oder wenn eine Seite geladen wird.”

Werden

Der Beitrag fuhr fort:

Die gesendeten Tastenanschläge sind äquivalent zu Control+Shift+J, der Link zum Aktivieren des DevTools-Bereichs. Schließlich blendet das PowerShell-Skript das neu geöffnete DevTools-Fenster mithilfe der Datei aus ShowWindow ()-API und die SW_HIDE Flagge. Nachdem dieser Vorgang abgeschlossen ist, ist devtools auf der aktiven Registerkarte aktiviert, aber das Fenster ist ausgeblendet.

Außerdem wird dieses Skript verwendet, um alle Fenster zu verbergen, die das Opfer warnen könnten. Microsoft Edge beispielsweise zeigt dem Benutzer regelmäßig eine Warnmeldung an (Abbildung 5), wenn Erweiterungen im Entwicklermodus ausgeführt werden. Das Skript prüft ständig, ob dieses Fenster erscheint und blendet es mit aus ShowWindow() und die SW_HIDE Flagge.

Werden

Nach der Installation kann die Erweiterung die folgenden Anforderungen ausführen:

HTTP-POST-Daten Beschreibung
Modus = Liste Listen Sie zuvor gesammelte E-Mails des Opfers auf, um sicherzustellen, dass keine Duplikate hochgeladen werden. Diese Liste wird laufend aktualisiert, während SHARPEXT läuft.
Modus = Domäne Listen Sie die E-Mail-Domänen auf, mit denen das Opfer zuvor kommuniziert hat. Diese Liste wird laufend aktualisiert, während SHARPEXT läuft.
Modus = schwarz Sammeln Sie eine schwarze Liste von E-Mail-Absendern, die beim Sammeln von E-Mails vom Opfer ignoriert werden sollten.
Modus = neuD & d =[data] Fügen Sie der Liste aller vom Opfer angezeigten Domains eine Domain hinzu.
mode = anhängen & name =[data]& idx =[data]& Körper =[data] Laden Sie einen neuen Anhang auf den Remote-Server hoch.
Modus = neu & mittel =[data]& Körper =[data] Laden Sie Ihre Google Mail-Daten auf den Remote-Server hoch.
Modus = Liste der att Vom Angreifer kommentiert; erhalten Sie eine Liste der zu exfiltrierenden Anhänge.
mode = new_aol & mid =[data]& Körper =[data] Laden Sie die AOL-Daten auf den Remote-Server hoch.

Mit SHARPEXT können Hacker E-Mail-Adresslisten zum Ignorieren erstellen und bereits gestohlene E-Mails oder Anhänge nachverfolgen.

Volexity hat die folgende Orchestrierungszusammenfassung der verschiedenen analysierten SHARPEXT-Komponenten erstellt:

Werden

Der Blogbeitrag enthält Bilder, Dateinamen und andere Indikatoren, anhand derer geschulte Personen feststellen können, ob sie von dieser Malware angegriffen oder infiziert wurden. Das Unternehmen hat gewarnt, dass die Bedrohung, die es darstellt, im Laufe der Zeit gewachsen ist und wahrscheinlich nicht so schnell verschwinden wird.

„Als Volexity zum ersten Mal auf SHARPEXT stieß, schien es ein frühes Entwicklungstool zu sein, das zahlreiche Fehler enthielt, ein Hinweis darauf, dass das Tool unausgereift war“, sagte das Unternehmen. “Die neuesten Updates und die laufende Wartung zeigen, dass der Stürmer seine Ziele erreicht und Wert darauf legt, sie weiter zu verfeinern.”

About the author

admin

Leave a Comment