Neue Malware kann auf Ihr Gmail-Postfach zugreifen, ohne Ihr Passwort oder 2FA

Forscher der Cybersicherheitsfirma Volexity haben eine neue bösartige Browsererweiterung entdeckt, die in der Lage ist, E-Mails aus Ihren Gmail- und AOL-Webmail-Postfächern zu stehlen, ohne Ihre Passwörter oder Ihren Zwei-Faktor-Authentifizierungsschlüssel (2FA) zu benötigen.

Die Erweiterung, die von den Volexity-Forschern „SHARPEXT“ genannt wird, wurde mit der nordkoreanisch unterstützten Bedrohungsgruppe ‚SharpTongue‘ in Verbindung gebracht, die auch unter dem Namen ‚Kimsuky‘ bekannt ist.

SharpTongue hat eine Geschichte, in der sie Personen ins Visier nimmt und opfert, die für Organisationen in den Vereinigten Staaten, Europa und Südkorea arbeiten und sich mit Themen befassen, die Nordkorea, nukleare Fragen, Waffensysteme und andere Angelegenheiten von strategischem Interesse für Nordkorea betreffen.

Laut den Forschern begann Volexity im September 2021, eine interessante, nicht dokumentierte Malware-Familie zu beobachten, die von SharpTongue verwendet wird. Seit ihrer Entdeckung wächst die Erweiterung und befindet sich derzeit in der Version 3.0, basierend auf dem internen Versionssystem.

„SHARPEXT unterscheidet sich von zuvor dokumentierten Erweiterungen, die von dem ‚Kimsuky‘-Akteur verwendet wurden, da sie nicht versucht, Benutzernamen und Passwörter zu stehlen. Stattdessen inspiziert die Malware direkt die Daten eines Opfers aus dessen Webmail-Konto, während es darin surft“, schrieb Volexity in einem Blogbeitrag.

In den ersten Versionen von SHARPEXT, die von Volexity untersucht wurden, unterstützte die Malware nur Google Chrome. Die neueste Version 3.0 unterstützt jedoch Google Chrome, Microsoft Edge und Navers Whale-Browser und kann E-Mails sowohl von Gmail als auch von AOL-Webmail stehlen.

Die Angreifer installieren die bösartige Erweiterung auf dem Gerät des Opfers, indem sie die Dateien „Preferences“ und „Secure Preferences“ des Browsers, die von dem Command-and-Control (C2)-Server der Malware heruntergeladen wurden, durch solche ersetzen, die von einem Remote-Server unter Verwendung eines benutzerdefinierten VBS-Skripts empfangen wurden.

Sobald die neuen Präferenzdateien auf dem kompromittierten Gerät heruntergeladen sind, lädt der Webbrowser die SHARPEXT-Erweiterung heimlich und achtet darauf, alle Warnmeldungen über das Ausführen von Entwicklermodus-Erweiterungen zu verbergen. Dies macht die Erkennung für den E-Mail-Anbieter des Opfers sehr schwierig, wenn nicht sogar unmöglich.

„Dies ist das erste Mal, dass Volexity bösartige Browsererweiterungen als Teil der Post-Exploitation-Phase eines Kompromisses beobachtet hat. Durch das Stehlen von E-Mail-Daten im Kontext einer bereits angemeldeten Sitzung des Benutzers wird der Angriff vor dem E-Mail-Anbieter verborgen, was die Erkennung sehr herausfordernd macht“, sagten die Forscher.

„Ähnlich bedeutet die Art und Weise, wie die Erweiterung funktioniert, dass verdächtige Aktivitäten nicht auf der Statusseite ‚Kontobewegungen‘ eines Benutzers protokolliert werden, falls dieser sie überprüfen sollte.“

Maßnahmen zum Schutz Ihrer Online-Sicherheit **

Volexity empfiehlt Folgendes, um solche Angriffe umfassend zu erkennen und zu untersuchen:

• Aktivieren und analysieren Sie die Ergebnisse des PowerShell ScriptBlock-Loggings, da PowerShell eine Schlüsselrolle bei der Einrichtung und Installation der Malware spielt. Dies könnte nützlich sein für die Identifizierung und Triage bösartiger Aktivitäten.

• Führen Sie eine regelmäßige Überprüfung der installierten Erweiterungen auf den Maschinen von Hochrisikobenuzern durch, um solche zu identifizieren, die nicht im Chrome Web Store verfügbar sind oder von ungewöhnlichen Pfaden geladen wurden.

Um diese spezifischen Angriffe zu verhindern, schlägt die Sicherheitsfirma Folgendes vor:

• Verwenden Sie die YARA-Regeln hier, um verwandte Aktivitäten zu erkennen.

• Blockieren Sie die hier aufgeführten IOCs.