Новое вредоносное ПО может получить доступ к вашему почтовому ящику Gmail без вашего пароля или 2FA

Исследователи кибербезопасности из компании Volexity обнаружили новое вредоносное расширение для браузера, которое имеет возможность красть электронные письма из ваших почтовых ящиков Gmail и AOL, не требуя ваших паролей или ключа двухфакторной аутентификации (2FA).

Расширение, названное “SHARPEXT” исследователями Volexity, было связано с угрожающей группой, поддерживаемой Северной Кореей, “SharpTongue”, также известной как “Kimsuky”.

SharpTongue имеет историю нацеливания и жертвования людей, работающих в организациях США, Европы и Южной Кореи, которые занимаются вопросами, связанными с Северной Кореей, ядерными проблемами, системами вооружений и другими вопросами стратегического интереса для Северной Кореи.

Согласно исследователям, в сентябре 2021 года Volexity начала наблюдать за интересной, не задокументированной семейством вредоносного ПО, используемым SharpTongue. С момента его открытия расширение росло и в настоящее время находится на версии 3.0, основанной на внутренней системе версий.

“SHARPEXT отличается от ранее задокументированных расширений, используемых актором ‘Kimsuky’, тем, что оно не пытается украсть имена пользователей и пароли. Вместо этого вредоносное ПО напрямую проверяет и эксфильтрует данные из веб-почтового аккаунта жертвы, пока она его просматривает,” - написала Volexity в блоге.

В первых версиях SHARPEXT, исследованных Volexity, вредоносное ПО поддерживало только Google Chrome. Однако последняя версия 3.0 поддерживает Google Chrome, Microsoft Edge и браузеры Whale от Naver и может красть электронные письма как из Gmail, так и из AOL.

Атакующие устанавливают вредоносное расширение на устройство жертвы, заменяя файлы Preferences и Secure Preferences браузера, загруженные с сервера командования и управления (C2) вредоносного ПО, на те, которые получены с удаленного сервера с использованием пользовательского VBS-скрипта.

После загрузки новых файлов предпочтений на скомпрометированное устройство веб-браузер тихо загружает расширение SHARPEXT, стараясь скрыть любые предупреждающие сообщения о запуске расширений в режиме разработчика. Это делает обнаружение очень сложным для почтового провайдера жертвы, если не невозможным.

“Это первый случай, когда Volexity наблюдает за вредоносными расширениями браузера, используемыми в рамках постэксплуатационной фазы компрометации. Путем кражи данных электронной почты в контексте уже вошедшей в систему сессии пользователя атака скрыта от почтового провайдера, что делает обнаружение очень сложным,” - сказали исследователи.

“Аналогично, способ, которым работает расширение, означает, что подозрительная активность не будет зафиксирована на странице состояния ‘активности аккаунта’ пользователя, если они решат ее просмотреть.”

Меры для защиты в Интернете

Volexity рекомендует следующее для широкого обнаружения и расследования таких атак:

• Включите и проанализируйте результаты ведения журнала PowerShell ScriptBlock, так как PowerShell играет ключевую роль в настройке и установке вредоносного ПО. Это может быть полезно для идентификации и триажа вредоносной активности.

• Периодически проверяйте установленные расширения на машинах пользователей с высоким риском, чтобы выявить те, которые недоступны в Chrome Web Store или загружаются из необычных путей.

Чтобы предотвратить эти конкретные атаки, компания по безопасности предлагает следующее:

• Используйте правила YARA здесь для обнаружения связанной активности.

• Блокируйте IOCs, перечисленные здесь.