Cyberbezpieczeństwo
Malware w rozszerzeniu Chrome. W tle Korea Północna
Autor. Pxhere.com
Korea Północna pozostaje ogromnym zagrożeniem w cyberprzestrzeni. Złośliwe rozszerzenie do Google Chrome autorstwa Kimsuky pozwalało na wykradanie wrażliwych danych, m.in. haseł czy adresów e-mail. Ofiarą cyberprzestępców padło m.in. środowisko akademickie w Korei Południowej, skupiające się na życiu politycznym Korei Północnej.
Reżimowi Kim Dzong Una udało się przeprowadzić kolejną kampanię zakończoną sukcesem. Ostatnio cyberprzestępcy zaszyli złośliwe oprogramowanie w jednym z antywirusów.
W tym przypadku północnokoreańscy hakerzy rozsyłali archiwa, które pozornie dotyczyły południowokoreańskiej wojskowości. Należy również dodać, że złośliwe oprogramowanie było dostępne na GitHubie jedynie przez dobę, co może wskazywać na staranne dobranie celu ataku.
Infekcja złośliwym oprogramowaniem
Analiza południowokoreańskiej firmy zajmującej się bezpieczeństwem wykazała, że uruchomienie pliku wykonywalnego (.exe) powodowało wysyłanie wrażliwych danych do określonego konta na GitHubie i pobranie skryptu w PowerShellu z serwera cyberprzestępców.
Autor. https://stic.secui.com/main/main/threatInfo?id=225
Autor. https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia#introduction
Kolejnym krokiem była instalacja rozszerzenia do Chrome, które zostało nazwane TRANSLATEXT przez twórców raportu. Proces instalacji nie wymagał bezpośredniego udziału użytkownika.
Czytaj też
„Transparentność" Kimsuky
Hakerzy z Korei Północnej pozostawili w kodzie opisy po koreańsku, co wskazuje na kampanię wymierzoną w ich południowych sąsiadów.
Autor. https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia#introduction
Analitycy zscaler wykazali również, że złośliwe oprogramowanie wstrzykiwało określone skrypty. Przykładowo – skrypt content.js zbierał adresy e-mail i wpisywane hasła, a gsuite.js szukał usuwał tagi div w określonych miejscach na stronie mail.google.com.
Ochrona przed zagrożeniami
Działania Kimsuky pokazują, że dobre praktyki oparte na ograniczonym zaufaniu do nieznanych plików są słuszne i konieczne. Nigdy nie należy uruchamiać nieznanych plików wykonywalnych i instalować nieznanych rozszerzeń w przeglądarkach, ponieważ w ten sposób znacząco ułatwiamy życie cyberprzestępcom.
Zscaler podał również IoC (ang. Indicator of compromise), czyli indykatory wskazujące na przełamanie zabezpieczeń.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
