August 7, 2022

Die clevere Methode nordkoreanischer Hacker, auf das Gmail-Konto zuzugreifen und Informationen daraus zu stehlen

Forscher haben eine Art von Malware entdeckt, die noch nie zuvor gesehen wurde. Nordkoreanische Hacker haben diese Malware verwendet, um heimlich E-Mails und ihre Anhänge von den Gmail- und AOL-Konten ihrer Zielbenutzer zu lesen und herunterzuladen. Volexity berichtete in einem Blogbeitrag, dass seine Sicherheitsforscher eine neue Malware namens SHARPEXT entdeckt haben, die clevere Tools verwendet, um Erweiterungen in Edge- und Chrome-Browsern zu installieren.

E-Mail-Dienste können diese Erweiterungen nicht erkennen, und da der Benutzer den Browser bereits mit einer mehrstufigen Authentifizierungsmethode authentifiziert hat, spielt diese Sicherheitsmaßnahme keine Rolle, um zu verhindern, dass das Konto des Benutzers gehackt wird. Diese Erweiterung ist nicht im Google Chrome Web Store, auf der Microsoft-Erweiterungsseite oder einer anderen bekannten Downloadquelle verfügbar, und ihre Installation erfordert keine Sicherheitslücken in Gmail und AOL.

Laut Volexity ist diese Malware seit einem Jahr im Einsatz und wurde von einer Hackergruppe namens SharpTonge entwickelt. Die Gruppe wird von Nordkorea gesponsert und steht im Einklang mit einer Gruppe, die andere Forscher unter dem Namen Kim Suki verfolgen. SHARPEXT richtet sich an Organisationen in den Vereinigten Staaten, Europa und Südkorea, die an Atomwaffen und anderen Themen arbeiten, die Nordkorea für seine Sicherheit als wichtig erachtet.

Steven AdairDer Chef von Volexity sagte in einer E-Mail, dass die bösartige SHARPEXT-Erweiterung durch Phishing- und Social-Engineering-Methoden und durch das Versenden eines bösartigen Dokuments auf dem Zielsystem installiert wird. Zuvor haben wir gesehen, dass nordkoreanische Bedrohungsagenten Phishing-Angriffe durchführen, deren Hauptziel darin bestand, das Opfer zu zwingen, eine Erweiterung im Browser zu installieren. Während dieses Plugin eigentlich ein Mechanismus für Missbrauch und Diebstahl ist. Diese Malware funktioniert nur unter Windows; Aber Adair Es sagt, dass es auch verwendet werden kann, um Browser zu infizieren, die auf macOS oder Linux laufen.

Es ist nicht einfach, während eines Phishing-Vorgangs eine Browsererweiterung zu installieren, ohne dass der Benutzer es merkt. Besonderes Augenmerk haben die Entwickler von SHARPEXT offenbar auf verschiedene Untersuchungen in diesem Bereich gelegt, die zeigen, wie ein Sicherheitsmechanismus in der Chromium-Browser-Engine Änderungen an sensiblen Benutzereinstellungen durch Malware verhindert.

Jedes Mal, wenn eine rechtliche Änderung auf diesen Browser angewendet wird, wird ein verschlüsselter Hash von einem Code empfangen, der vom Browser beim Start überprüft wird, und wenn während dieses Vorgangs ein Konflikt auftritt, fordert der Browser eine Wiederherstellung an die vorherigen Einstellungen. Um einen solchen Schutz durchzuführen, müssen Angreifer zunächst Folgendes aus dem Zielcomputer extrahieren:

  • Eine Kopie der Datei „resources.pak“ des Browsers, die den in Chrome verwendeten HMAC enthält
  • Benutzer-S-ID-Wert
  • Preferences und Secure Preferences-Dateien aus dem System des Benutzers

Nach dem Ändern der Preferences- und Secure Preferences-Dateien lädt SHARPEXT automatisch das schädliche Plugin herunter und führt ein Skript in PowerSell aus, das DevTools aktivieren kann. Diese Einstellung ermöglicht es dem Browser, benutzerdefinierten Code und Einstellungen auszuführen.

Wiederherstellungsschlüssel

Volexity erklärt:

Das Skript wird in einer Endlosschleife ausgeführt und überprüft die mit dem Zielbrowser verbundenen Prozesse. Wenn ein laufender Zielbrowser gefunden wird, überprüft dieses Skript den Registerkartentitel auf ein bestimmtes Schlüsselwort. Dieses Wort ist je nach Version von SHAREXT zB 05101190 oder Tab+ und wird ausgelöst, wenn ein Tab-Zustand geändert oder eine Seite mit dem bösartigen Suffix geladen wird.

Verwandter Artikel:

Die gesendeten Schlüssel entsprechen dem Drücken von STRG+UMSCHALT+J, was eine Verknüpfung zum Aktivieren von DevTools ist. Schließlich blendet das PowerShell-Skript das soeben geöffnete DevTools-Fenster mit der ShowWindow-API und dem SW_HIDE-Flag aus. Am Ende des Prozesses werden DevTools auf der Registerkarte aktiviert; Aber sein Fenster wird verborgen bleiben.

Darüber hinaus wird das genannte Skript verwendet, um alle anderen Fenster zu verbergen, die das Opfer warnen könnten. Beispielsweise zeigt Microsoft Edge dem Benutzer regelmäßig eine Warnmeldung an, und wenn die Erweiterungen im Entwicklermodus ausgeführt werden, prüft das Skript ständig, ob das Fenster angezeigt wird, und blendet es dann mithilfe von ShowWindow und dem SW_HIDE-Flag aus.

Nach der Installation kann das bösartige Plugin die folgenden Anfragen ausführen:

HTTP-POST-Daten Beschreibung
Modus=Liste Listen Sie die zuvor vom Opfer gesammelten E-Mails auf, um sicherzustellen, dass keine Duplikate hochgeladen werden. Diese Liste wird während der Ausführung von SHARPEXT ständig aktualisiert.
Modus=Domäne Listen Sie die E-Mail-Domains auf, mit denen das Opfer bereits kommuniziert hat. Diese Liste wird während der Ausführung von SHARPEXT ständig aktualisiert.
Modus = schwarz Erstellen Sie eine schwarze Liste von E-Mail-Absendern, die beim Sammeln von E-Mails vom Opfer ignoriert werden sollten.
mode=neuD&d=[data] Fügen Sie eine Domain zur Liste aller Domains hinzu, die das Opfer angesehen hat.
mode=anhängen&name=[data]&idx=[data]&body=[data] Laden Sie einen neuen Anhang auf den Remote-Server hoch.
mode=neu&mid=[data]&mbody=[data] Laden Sie Google Mail-Daten auf den Remote-Server hoch.
mode=attlist Kommentar des Angreifers; Holen Sie sich eine Anhangsliste zum Extrahieren.
mode=new_aol&mid=[data]&mbody=[data] Laden Sie AOL-Daten auf den Remote-Server hoch.

Mit SHARPEXT können Hacker eine Liste mit E-Mail-Adressen erstellen, um bereits gestohlene E-Mails oder Anhänge zu ignorieren und zu verfolgen. Volexity bietet die folgende Zusammenfassung der verschiedenen Komponenten von SHARPEXT:

Arbeitsschritte der SHARPEXT-Malware

Nach der Veröffentlichung des Blog-Beitrags von Volexity teilte ein Google-Sprecher in einer E-Mail mit, dass das bösartige Plug-in nicht auf Googles Servern gehostet wird und nach einem erfolgreichen Phishing- oder Social-Engineering-Angriff als Malware auf den Systemen der Opfer installiert wird. Anti-Malware-Dienste und die Verwendung von Sicherheitsbetriebssystemen, einschließlich Chrome, sind die besten Möglichkeiten, um diese Art von Angriffen und ähnlichen Angriffen zu verhindern.

Der Blogbeitrag von Volexity enthält Bilder und Dateinamen sowie andere Indikatoren, die geschulte Personen verwenden können, um festzustellen, ob SHARPEXT ihr System infiltriert hat. Das erwähnte Unternehmen warnt davor, dass sich diese Bedrohung im Laufe der Zeit ausgebreitet hat und wahrscheinlich nicht so schnell verschwinden wird. Diese Sicherheitsfirma sagte:

Als wir zum ersten Mal auf SHARPEXT stießen, schien es sich in einem frühen Entwicklungsstadium zu befinden und enthielt zahlreiche Fehler, die auf die Unreife des Tools hindeuteten. Die neusten Updates zeigen, dass der Angreifer mit dieser Malware sein Ziel erreicht hat und sich die Behebung der Probleme gelohnt hat.

Subscribe to the newsletter

Fames amet, amet elit nulla tellus, arcu.

Leave A Comment