Logotyp serwisu CyberDefence24
Reklama

Cyberbezpieczeństwo

Malware w rozszerzeniu Chrome. W tle Korea Północna

Korea Północna jest poważnym zagrożeniem w cyberprzestrzeni
Korea Północna jest poważnym zagrożeniem w cyberprzestrzeni
Autor. Pxhere.com

Korea Północna pozostaje ogromnym zagrożeniem w cyberprzestrzeni. Złośliwe rozszerzenie do Google Chrome autorstwa Kimsuky pozwalało na wykradanie wrażliwych danych, m.in. haseł czy adresów e-mail. Ofiarą cyberprzestępców padło m.in. środowisko akademickie w Korei Południowej, skupiające się na życiu politycznym Korei Północnej.

Reżimowi Kim Dzong Una udało się przeprowadzić kolejną kampanię zakończoną sukcesem. Ostatnio cyberprzestępcy zaszyli złośliwe oprogramowanie w jednym z antywirusów.

W tym przypadku północnokoreańscy hakerzy rozsyłali archiwa, które pozornie dotyczyły południowokoreańskiej wojskowości. Należy również dodać, że złośliwe oprogramowanie było dostępne na GitHubie jedynie przez dobę, co może wskazywać na staranne dobranie celu ataku.

Infekcja złośliwym oprogramowaniem

Analiza południowokoreańskiej firmy zajmującej się bezpieczeństwem wykazała, że uruchomienie pliku wykonywalnego (.exe) powodowało wysyłanie wrażliwych danych do określonego konta na GitHubie i pobranie skryptu w PowerShellu z serwera cyberprzestępców.

Pliki widoczne po rozpakowaniu archiwum
Pliki widoczne po rozpakowaniu archiwum
Autor. https://stic.secui.com/main/main/threatInfo?id=225
Łańcuch infekcji
Łańcuch infekcji
Autor. https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia#introduction

Kolejnym krokiem była instalacja rozszerzenia do Chrome, które zostało nazwane TRANSLATEXT przez twórców raportu. Proces instalacji nie wymagał bezpośredniego udziału użytkownika.

    Reklama

    „Transparentność" Kimsuky

    Hakerzy z Korei Północnej pozostawili w kodzie opisy po koreańsku, co wskazuje na kampanię wymierzoną w ich południowych sąsiadów.

    Koreańskie opisy w kodzie
    Koreańskie opisy w kodzie
    Autor. https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia#introduction

    Analitycy zscaler wykazali również, że złośliwe oprogramowanie wstrzykiwało określone skrypty. Przykładowo – skrypt content.js zbierał adresy e-mail i wpisywane hasła, a gsuite.js szukał usuwał tagi div w określonych miejscach na stronie mail.google.com.

    Ochrona przed zagrożeniami

    Działania Kimsuky pokazują, że dobre praktyki oparte na ograniczonym zaufaniu do nieznanych plików są słuszne i konieczne. Nigdy nie należy uruchamiać nieznanych plików wykonywalnych i instalować nieznanych rozszerzeń w przeglądarkach, ponieważ w ten sposób znacząco ułatwiamy życie cyberprzestępcom.

    Zscaler podał również IoC (ang. Indicator of compromise), czyli indykatory wskazujące na przełamanie zabezpieczeń.

      Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

      Reklama
      Reklama

      Jak odkryto blokady w pociągach Newagu?

      YouTube cover video

      Komentarze

        Reklama

        Czytaj także

        Internet pełen zagrożeń. Jak chronić dzieci i młodzież?
        Naukowcy z Uniwersytetu Warszawskiego budują prototyp odbiornika atomowego dla Europejskiej Agencji Kosmicznej
        Polscy naukowcy budują kosmiczny sensor kwantowy
        Ursula von der Leyen Komisja Europejska UE
        Unia ogłasza InvestAI. Miliardy na AI i gigafabryki
        Ustawa o systemach AI. Ważne zmiany w projekcie
        Postkwantowe cyberbezpieczeństwo. Apel do branży
        Rosyjska ingerencja w procesy wyborcze w Mołdawii
        Handala twierdzi, że udało się jej wykraść dane izraelskiej policji
        Haktywiści wykradli dane izraelskiej policji?
        Właściciel Facebooka zwalnia pracowników i... zatrudnia nowych
        Reklama