Cyberbezpieczeństwo
Kradzież maili z Gmaila i atak na Androida. Trwa groźna kampania
Północnokoreańska grupa cyberprzestępców Kimsuky wykorzytuje spear-phishing do szpiegostwa, wycelowanego w dyplomatów, dziennikarzy, agencje rządowe, polityków i profesorów. Używa do tego rozszerzeń do przeglądarki Chrome oraz złośliwego oprogramowania na Androida.
We wspólnym poradniku cyberbezpieczeństwa wydanym przez niemiecki Federalny Urząd Ochrony Konstytucji (BfV) i Narodową Służbę Wywiadowczą Republiki Korei (NIS) znajduje się ostrzeżenie przed kampanią grupy Kimsuky (znana także jako Thallium lub Velvet Chollima).
Cyberprzestępcy z Korei Północnej mają kierować swoje działania wobec dyplomatów, dziennikarzy, agencji rządowych, profesorów czy polityków. Celem początkowo miały być osoby z Korei Południowej, ale obecnie złośliwa kampania ma obejmować także Europę i Stany Zjednoczone.
Hakerzy mają stosować dwie metody ataku: złośliwe rozszerzenia do Chrome i aplikacje na Androida.
Czytaj też
Kradzież wiadomości z Gmaila
Pierwsza z nich polega na rozsyłaniu wiadomości typu spear-phishing, które mają nakłonić ofiarę do zaintalowania złośliwego rozszerzenia do Chrome oraz przeglądarek takich jak m.in. Microsoft Edge czy Brave.
Rozszerzenie można zobaczyć na liście tylko wtedy, gdy użytkownik wpisze „(chrome|edge|brave)://extensions” w pasku adresu przeglądarki. Po wejściu na pocztę Gmail za pośrednictwem przeglądarki, która została już zainfekowana, następuje aktywacja złośliwego oprogramowania, przechwytującego i wykradającego maile z konta ofiary – informuje Bleeping Computer.
Złośliwe oprogramowanie na Androida
Z kolei drugi schemat ataku ma polegać na wdrożeniu złośliwego oprogramowania na Androida - „FastViewer”, „Fastfire” lub „Fastspy DEX”. Podszywa się ono pod wtyczkę bezpieczeństwa lub przeglądarkę dokumentów.
Grupa Kimsuky ma logować się na konto Google ofiary po tym, jak wcześniej wykradła jej dane (np. za pomocą maila phishingowego). Kolejno hakerzy synchronizują sieć z telefonem i Google Play, co pozwala zainstalować aplikację z ich komputera na połączonych urządzeniach. Następnie wdrażają złośliwe oprogramowanie na Androida. To trojan dostępu zdalnego (RAT), który umożliwia grupie wykradanie plików, dostep do listy kontaktów, monitorowanie i wysyłanie SMS-ów w imieniu ofiary, aktywowanie kamery czy rejestrowanie aktywności klawiszy. Zatem ma on bardzo szerokie zastosowanie – przez co jest tak niebezpieczny.
Czytaj też
W poradniku, na który powołuje się serwis, przypomniano, że osoby, mogące stać się celem cyberprzestępców muszą zachować szczególną czujność i wdrożyć środki bezpieczeństwa.
Dotyczy to m.in. ostrożności względem otrzymanych wiadomości (by strzec się przed phishingiem), aktualizowania oprogramowania czy monitorowania urządzenia pod kątem podejrzanej aktywności. Przypominamy także o korzystaniu z klucza bezpieczeństwa (U2F), o którym więcej w poniższym materiale.
Czytaj też
/NB
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].