BIZIT 11 - prvi dan

Hakeri koje podržava Severna Koreja imaju pametan način da pročitaju vaš Gmail

Istraživači su otkrili dosad neviđeni malver koji su hakeri iz Severne Koreje koristili da krišom čitaju i preuzimaju emailove i priloge sa Gmail i AOL naloga zaraženih korisnika.

PCPress.rs Image

SHARPEXT je prošle godine usisao hiljade mejlova i postaje sve bolji

Malver, koji su istraživači iz bezbednosne firme Volexity nazvali SHARPEXT, koristi pametna sredstva za instaliranje ekstenzije browsera za Chrome i Edge browsere, objavio je Volexity u blogu. Usluge emaila ne mogu da otkriju ekstenziju, a pošto je browser već proveren korišćenjem bilo koje višefaktorske zaštite autentifikacije, ova sve popularnija bezbednosna mera ne igra nikakvu ulogu u obuzdavanju kompromitovanja naloga.  Malver je prisutan više od godinu dana i delo je hakerske grupe koju Volexity naziva Sharp Tongue, a sponzoriše je Severna Koreja. SHARPEXT cilja organizacije koje rade na nuklearnom oružju i drugim temama od značaja za nacionalnu  bezbendnost Severne Koreje, a koje se nalaze u SAD, Evropi i Južnoj Koreji.

Predsednik Volexity-a Stiven Adair rekao je u emailu da se ekstenzija instalira „putem krađe identiteta i društvenog inženjeringa, gde je žrtva prevarena da otvori zlonamerni dokument. Ranije smo videli aktere pretnji iz DNRK-a kako pokreću spear phishing napade, gde je ceo cilj bio da naterate žrtvu da instalira ekstenziju browsera.” U svojoj trenutnoj inkarnaciji, malver radi samo na Windows-u, ali Adair je rekao da nema razloga da se ne može proširiti da zarazi i browsere koji rade na macOS-u ili Linux-u. U postu na blogu se dodaje: „Volexity-jeva sopstvena vidljivost pokazuje da je ekstenzija bila prilično uspešna, pošto evidencije koje je Volexity prikupio pokazuju da je napadač uspeo da ukrade hiljade emailova od više žrtava putem primene malvera.

Pročitajte i:  AOL-ov glas „Imate poštu!“ preminuo u 74. godini

Instaliranje ekstenzije browsera tokom phishing operacije, a da krajnji korisnik to ne primeti, nije lako. Programeri SHARPEXT-a jasno su obratili pažnju na istraživanje koje pokazuje kako bezbednosni mehanizam u Chromium browseru sprečava malver da izvrši promene u osetljivim korisničkim podešavanjima. Svaki put kada se izvrši legitimna promena, browser uzima kriptografski heš nekog koda. Prilikom pokretanja, browser proverava hešove, a ako se bilo koji od njih ne poklapa, browser zahteva da se stara podešavanja vrate. Da bi napadači zaobišli ovu zaštitu, prvo moraju da izvuku sledeće sa računara koji kompromituju:

  • Kopija resources.pak fajla iz browsera (koja sadrži HMAC seed koje koristi Chrome)
  • Vrednost S-ID korisnika
  • Originalne Preferences i Secure Preferences fajlove iz korisničkog sistema

Nakon izmene datoteka sa preferencijama, SHARPEXT automatski učitava ekstenziju i izvršava PowerShell skriptu koja omogućava DevTools, postavku koja omogućava browseru da pokreće prilagođeni kod i podešavanja. Skripta se pokreće u beskonačnoj petlji i proverava procese povezane sa ciljanim browserima. Ako se otkrije da je pokrenut bilo koji ciljani browser, skripta proverava naslov taba za određenu ključnu reč (na primer „05101190“ ili „Tab+“ u zavisnosti od verzije SHARPEXT). Određena ključna reč je ubačena u naslov os stane zlonamerne ekstenzije kada se promeni aktivni tab ili kada se stranica učita. Pritisci na tastere koji se šalju su ekvivalentni Control+Shift+J, prečici za omogućavanje panela DevTools. Na kraju, PowerShell skripta sakriva novootvoreni prozor DevTools koristeći ShowWindov() API i SW_HIDE flag. Na kraju ovog procesa, DevTools je omogućen na aktivnom tabu, ali je prozor skriven. Pored toga, ova skripta se koristi za sakrivanje prozora koji bi mogli upozoriti žrtvu. Microsoft Edge, na primer, periodično prikazuje poruku upozorenja korisniku ako se ekstenzije pokreću u režimu programera. Skripta stalno proverava da li se ovaj prozor pojavljuje i sakriva ga koristeći ShowWindow() i SV_HIDE zastavicu.

Pročitajte i:  Gmail-ova funkcija Q&A koju pokreće Gemini dolazi na iOS

Jednom instalirano, proširenje može da izvršava sledeće zahteve:

HTTP POST Data Opis

mode=list Lista prethodno prikupljene emailove od žrtve radi provere duplikata. Lista se kontinuirano apdejtuje.

mode=domain Lista email domene sa kojima je žrtva prethodno komunicirala. Lista se kontinuirano apdejtuje.

mode=black Pravi crnu listu pošiljalaca emaila koje treba ignorisati kada se prikupljaju emailovi žrtve.

mode=newD&d=[data] Dodaje domen na listu svih domena koje je žrtva pregledala.

mode=attach&name=[data]&idx=[data]&body=[data] Aplouduje novi atačment na remote server.

mode=new&mid=[data]&mbody=[data] Aplouduje Gmail data na remote server.

mode=attlist Komentari od strane napadača; prima listu priloga za eksfiltriranje.

mode=new_aol&mid=[data]&mbody=[data] Aplouduje AOL data  naremote server.

Post na blogu pruža slike, nazive fajlova i druge indikatore koje obučeni ljudi mogu da koriste da utvrde da li su bili meta ili zaraženi ovim malverom. Kompanija je upozorila da je pretnja koju predstavlja vremenom porasla i da verovatno neće uskoro nestati.

Izvor: Arstechnica

Facebook komentari:
Računari i Galaksija
Tagovi: , , , , ,