Reklama

Cyberbezpieczeństwo

Malware w rozszerzeniu Chrome. W tle Korea Północna

Korea Północna jest poważnym zagrożeniem w cyberprzestrzeni
Korea Północna jest poważnym zagrożeniem w cyberprzestrzeni
Autor. Pxhere.com

Korea Północna pozostaje ogromnym zagrożeniem w cyberprzestrzeni. Złośliwe rozszerzenie do Google Chrome autorstwa Kimsuky pozwalało na wykradanie wrażliwych danych, m.in. haseł czy adresów e-mail. Ofiarą cyberprzestępców padło m.in. środowisko akademickie w Korei Południowej, skupiające się na życiu politycznym Korei Północnej.

Reżimowi Kim Dzong Una udało się przeprowadzić kolejną kampanię zakończoną sukcesem. Ostatnio cyberprzestępcy zaszyli złośliwe oprogramowanie w jednym z antywirusów.

W tym przypadku północnokoreańscy hakerzy rozsyłali archiwa, które pozornie dotyczyły południowokoreańskiej wojskowości. Należy również dodać, że złośliwe oprogramowanie było dostępne na GitHubie jedynie przez dobę, co może wskazywać na staranne dobranie celu ataku.

Infekcja złośliwym oprogramowaniem

Analiza południowokoreańskiej firmy zajmującej się bezpieczeństwem wykazała, że uruchomienie pliku wykonywalnego (.exe) powodowało wysyłanie wrażliwych danych do określonego konta na GitHubie i pobranie skryptu w PowerShellu z serwera cyberprzestępców.

Pliki widoczne po rozpakowaniu archiwum
Pliki widoczne po rozpakowaniu archiwum
Autor. https://stic.secui.com/main/main/threatInfo?id=225
Łańcuch infekcji
Łańcuch infekcji
Autor. https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia#introduction

Kolejnym krokiem była instalacja rozszerzenia do Chrome, które zostało nazwane TRANSLATEXT przez twórców raportu. Proces instalacji nie wymagał bezpośredniego udziału użytkownika.

Czytaj też

Reklama

„Transparentność" Kimsuky

Hakerzy z Korei Północnej pozostawili w kodzie opisy po koreańsku, co wskazuje na kampanię wymierzoną w ich południowych sąsiadów.

Koreańskie opisy w kodzie
Koreańskie opisy w kodzie
Autor. https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia#introduction

Analitycy zscaler wykazali również, że złośliwe oprogramowanie wstrzykiwało określone skrypty. Przykładowo – skrypt content.js zbierał adresy e-mail i wpisywane hasła, a gsuite.js szukał usuwał tagi div w określonych miejscach na stronie mail.google.com.

Ochrona przed zagrożeniami

Działania Kimsuky pokazują, że dobre praktyki oparte na ograniczonym zaufaniu do nieznanych plików są słuszne i konieczne. Nigdy nie należy uruchamiać nieznanych plików wykonywalnych i instalować nieznanych rozszerzeń w przeglądarkach, ponieważ w ten sposób znacząco ułatwiamy życie cyberprzestępcom.

Zscaler podał również IoC (ang. Indicator of compromise), czyli indykatory wskazujące na przełamanie zabezpieczeń.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Komentarze

    Reklama