Изследователите са открили невиждан досега злонамерен софтуер, който севернокорейските хакери използват за тайно четене и изтегляне на имейли и прикачени файлове от акаунти в Gmail и AOL на заразени потребители.
Зловреден софтуер, наречен SHARPEXT от изследователи на фирмата за сигурност Volexity, използва умни средства за инсталиране на разширение на браузъра за браузъри Chrome и Edge, съобщава Volexity в публикация в блог. Разширението не може да бъде открито от услугите за електронна поща и тъй като браузърът вече е удостоверен с помощта на всички налични защити за многофакторно удостоверяване, тази все по-популярна мярка за сигурност не играе никаква роля в рамките на ограничението за компрометиране на акаунта.
Злонамереният софтуер се използва от „много повече от година“, каза Volexity, и е дело на хакерска група, която компанията проследява под името SharpTongue. Групата е спонсорирана от севернокорейското правителство и се припокрива с група, проследявана като Кимсуки от други изследователи. SHARPEXT е насочен към организации в Съединените щати, Европа и Южна Корея, които работят по ядрени оръжия и други въпроси, които Северна Корея смята за важни за националната си сигурност.
Президентът на Volexity Стивън Адеър каза в имейл, че разширението е инсталирано „чрез фишинг и социално инженерство, където жертвата е подмамена да отвори злонамерен документ. Преди това сме виждали заплахи от КНДР да стартират фишинг атаки, като целта е била да се подмами жертвата да инсталира разширение на браузъра, а не механизъм след експлоатация за постоянство и кражба на данни.” В настоящото си въплъщение злонамереният софтуер работи само на Windows, но Adair каза, че няма причина да не може да бъде разширен, за да зарази и браузъри, работещи с macOS или Linux.
Публикацията в блога добавя: „Собствената видимост на Volexity показва, че разширението е доста успешно, тъй като регистрационните файлове, получени от Volexity, показват, че нападателят е успял да открадне хиляди имейли от множество жертви чрез злонамерения софтуер за внедряване.
Инсталирането на разширение на браузъра по време на фишинг операция, без крайният потребител да забележи, не е лесно. Разработчиците на SHARPEXT ясно са обърнали внимание на изследвания като тези, публикувани тук, тук и тук, които показват как механизъм за сигурност в двигателя на браузъра Chromium предотвратява промяната на злонамерен софтуер от чувствителни потребителски настройки. Всеки път, когато се прави законна промяна, браузърът взема криптографски хеш на част от кода. При стартиране браузърът проверява хешовете и ако някой от тях не съвпада, браузърът изисква възстановяване на старите настройки.
За да могат нападателите да заобиколят тази защита, те първо трябва да извлекат следните елементи от компютъра, който компрометират:
- Копие на файла resources.pak на браузъра (който съдържа началния код на HMAC, използван от Chrome)
- Стойността на S-ID на потребителя
- Оригиналните системни предпочитания на потребителя и файловете с защитени предпочитания
След като промените файловете с предпочитания, SHARPEXT автоматично зарежда разширението и изпълнява PowerShell скрипт, който активира DevTools, настройка, която позволява на браузъра да изпълнява потребителски код и настройки.
„Скриптът работи в безкраен цикъл, като проверява процесите, свързани с целевите браузъри“, обясни Volexity. „Ако бъдат открити работещи целеви браузъри, скриптът проверява заглавието на раздела за конкретна ключова дума (напр. „05101190“ или „Tab+“ в зависимост от версията на SHARPEXT). Конкретната ключова дума се вмъква в заглавието от разширението за злонамерен софтуер, когато активен раздел се промени или когато се зареди страница.”
Съобщението продължаваше:
Изпратените удари са еквивалентни на
Control+Shift+J
, пряк път за активиране на панела DevTools. И накрая, скриптът PowerShell скрива новоотворения прозорец DevTools с помощта на API ShowWindow() иSW_HIDE
знаме. В края на този процес DevTools се активира в активния раздел, но прозорецът е скрит.Освен това този скрипт се използва за скриване на всички прозорци, които биха могли да предупредят жертвата. Microsoft Edge, например, периодично показва предупредително съобщение на потребителя (Фигура 5), ако разширенията работят в режим за разработчици. Скриптът постоянно проверява дали този прозорец се появява и го скрива с помощта на командата
ShowWindow()
и наSW_HIDE
знаме.
Веднъж инсталирано, разширението може да изпълнява следните заявки:
HTTP POST данни | Описанието |
режим=списък | Избройте имейлите, събрани преди това от жертвата, за да сте сигурни, че не се качват дубликати. Този списък се актуализира непрекъснато, докато SHARPEXT работи. |
режим=домейн | Избройте имейл домейните, с които жертвата вече е комуникирала. Този списък се актуализира непрекъснато, докато SHARPEXT работи. |
мода=черно | Съберете черен списък с изпращачи на имейли, които трябва да бъдат игнорирани, докато събирате имейли на жертви. |
режим=новD&d=[data] | Добавете домейн към списъка с всички домейни, гледани от жертвата. |
режим=прикачване&име=[data]&idx=[data]&тяло=[data] | Качете нов прикачен файл на отдалечения сървър. |
fashion=new&mid=[data]&mbody=[data] | Качете данни от Gmail на отдалечения сървър. |
mode=attlist | Коментирано от агресора; получавате списък с прикачени файлове за ексфилтриране. |
mode=new_aol&mid=[data]&mbody=[data] | Качете AOL данни на отдалечения сървър. |
SHARPEXT позволява на хакерите да създават списъци за игнориране на имейл адреси и да следят имейли или прикачени файлове, които вече са били откраднати.
Volexity създаде следното резюме на оркестрацията на различните компоненти на SHARPEXT, които анализира:
Публикацията в блога предоставя изображения, имена на файлове и други индикатори, които обучени лица могат да използват, за да определят дали са били насочени или заразени с този зловреден софтуер. Компанията предупреди, че заплахата, която представлява, е нараснала с времето и не се очаква да изчезне скоро.
„Когато Volexity за първи път се сблъска с SHARPEXT, изглеждаше, че е ранен инструмент за разработка с множество грешки, индикация, че инструментът е незрял“, казаха от компанията. „Последните актуализации и текущата поддръжка показват, че атакуващият постига целите си, намирайки стойност, като продължава да я усъвършенства.“