新しいマルウェアがあなたのパスワードや2FAなしでGmailの受信トレイにアクセスできる

サイバーセキュリティ企業Volexityの研究者たちは、GmailやAOLのウェブメール受信トレイからパスワードや二要素認証（2FA）キーを必要とせずにメールを盗む能力を持つ新しい悪意のあるブラウザ拡張機能を発見しました。

Volexityの研究者によって「SHARPEXT」と名付けられたこの拡張機能は、北朝鮮に支援された脅威グループ「SharpTongue」と関連付けられており、別名「Kimsuky」とも呼ばれています。

SharpTongueは、北朝鮮、核問題、武器システム、北朝鮮にとって戦略的に重要なその他の問題に関わる組織で働く個人を標的にし、被害を与える歴史があります。

研究者によると、2021年9月にVolexityはSharpTongueによって使用される興味深い、文書化されていないマルウェアファミリーを観察し始めました。発見以来、この拡張機能は成長を続けており、現在は内部バージョニングシステムに基づいてバージョン3.0に達しています。

「SHARPEXTは、‘Kimsuky’アクターによって使用される以前に文書化された拡張機能とは異なり、ユーザー名やパスワードを盗もうとはしません。むしろ、マルウェアは被害者のウェブメールアカウントを直接検査し、データを抽出します」とVolexityはブログ投稿で述べています。

Volexityが調査したSHARPEXTの最初のバージョンでは、マルウェアはGoogle Chromeのみをサポートしていました。しかし、最新のバージョン3.0はGoogle Chrome、Microsoft Edge、NaverのWhaleブラウザをサポートし、GmailとAOLのウェブメールの両方からメールを盗むことができます。

攻撃者は、マルウェアのコマンド＆コントロール（C2）サーバーからダウンロードされたブラウザのPreferencesおよびSecure Preferencesファイルを、リモートサーバーから受信したものに置き換えるカスタムVBSスクリプトを使用して、被害者のデバイスに悪意のある拡張機能をインストールします。

新しい設定ファイルが侵害されたデバイスにダウンロードされると、ウェブブラウザはSHARPEXT拡張機能を静かに読み込み、開発者モード拡張機能を実行することに関する警告メッセージを隠すようにします。これにより、被害者のメールプロバイダーによる検出が非常に困難になります。

「これは、Volexityが侵害の後の利用段階の一部として悪意のあるブラウザ拡張機能が使用されるのを観察した初めてのケースです。ユーザーがすでにログインしているセッションの文脈でメールデータを盗むことにより、攻撃はメールプロバイダーから隠され、検出が非常に困難になります」と研究者たちは述べています。

「同様に、拡張機能の動作方法は、ユーザーがそれを確認した場合、ユーザーのメールの「アカウントアクティビティ」ステータスページに疑わしい活動が記録されないことを意味します。」

オンラインで自分を守るための対策

Volexityは、こうした攻撃を広く検出し調査するために以下を推奨しています：

• PowerShell ScriptBlockロギングの結果を有効にし、分析します。PowerShellはマルウェアのセットアップとインストールに重要な役割を果たします。これは悪意のある活動の特定とトリアージに役立つ可能性があります。

• 高リスクユーザーのマシンにインストールされている拡張機能を定期的にレビューし、Chrome Web Storeで入手できないものや異常なパスから読み込まれたものを特定します。

これらの特定の攻撃を防ぐために、セキュリティ企業は以下を提案しています：

• 関連する活動を検出するために、ここにあるYARAルールを使用します。

• ここにリストされているIOCをブロックします。