Door Noord-Korea gesteunde hackers hebben een slimme manier om je Gmail te lezen

Getty Images

Onderzoekers hebben nooit eerder vertoonde malware opgegraven die hackers uit Noord-Korea hebben gebruikt om heimelijk e-mail en bijlagen van Gmail- en AOL-accounts van geïnfecteerde gebruikers te lezen en te downloaden.

De malware, door onderzoekers van beveiligingsbedrijf Volexity SHARPEXT genoemd, gebruikt slimme middelen om een ​​browserextensie voor de Chrome- en Edge-browsers te installeren, meldt Volexity in een blogpost. De extensie kan geen e-mailservice zijn, en aangezien de browser al is geverifieerd met meervoudige authenticatiebeveiligingen, speelt dit gebruik van de populaire beveiligingsmaatregel geen rol bij het inperken van het accountcompromis.

De malware is al “ruim een ​​jaar” in gebruik, zei Volexity, en is het werk van een hackgroep die het bedrijf volgt als SharpTongue. De groep wordt gesponsord door de regering van Noord-Korea en overlapt met een groep die door andere onderzoekers wordt gevolgd als Kimsuky. SHARPEXT richt zich op organisaties in de VS, Europa en Zuid-Korea die werken aan kernwapens en andere zaken die Noord-Korea belangrijk acht voor zijn nationale veiligheid.

Volexity-president Steven Adair zei in een e-mail dat de extensie wordt geïnstalleerd “door middel van spear phishing en social engineering waarbij het slachtoffer voor de gek wordt gehouden door een kwaadaardig document te openen. het slachtoffer een browserextensie laten installeren in plaats van een post-exploitatiemechanisme voor persistentie en gegevensdiefstal.” In zijn huidige vorm werkt de malware alleen op Windows, maar volgens Adair is er geen reden waarom het niet zou kunnen worden uitgebreid om ook browsers op macOS of Linux te infecteren.

De blogpost voegde eraan toe: “Volexity’s eigen zichtbaarheid toont aan dat de extensie behoorlijk succesvol is geweest, aangezien logs die door Volexity zijn verkregen aantonen dat de aanvaller in staat was duizenden e-mails van meerdere slachtoffers te stelen door middel van de implementatie van de malware.”

Het installeren van een browserextensie tijdens een phishing-operatie zonder dat de eindgebruiker het merkt, is niet eenvoudig. SHARPEXT-ontwikkelaars hebben duidelijk aandacht besteed aan onderzoek zoals wat hier, hier en hier is gepubliceerd, dat laat zien hoe een beveiligingsmechanisme in de Chromium-browserengine voorkomt dat malware wijzigingen aanbrengt in gevoelige gebruikersinstellingen. Elke keer dat een legitieme wijziging wordt aangebracht, neemt de browser een cryptografische hash van een deel van de code. Bij het opstarten verifieert de browser de hashes, en als een van deze niet overeenkomt, vraagt ​​de browser om de oude instellingen te herstellen.

Als aanvallers deze bescherming willen omzeilen, moeten ze eerst het volgende uit de computer halen die ze compromitteren:

  • Een kopie van het bestand resources.pak uit de browser (dat de HMAC-seed bevat die door Chrome wordt gebruikt)
  • De S-ID-waarde van de gebruiker
  • De originele bestanden met voorkeuren en beveiligde voorkeuren van het systeem van de gebruiker

Na het wijzigen van de voorkeursbestanden laadt SHARPEXT automatisch de extensie en voert het een PowerShell-script uit dat DevTools inschakelt, een instelling waarmee de browser aangepaste code en instellingen kan uitvoeren.

“Het script loopt in een oneindige lus en controleert op processen die zijn gekoppeld aan de beoogde browsers”, legt Volexity uit. “Als gerichte browsers actief worden gevonden, controleert het script de titel van het tabblad op een specifiek trefwoord (bijvoorbeeld ‘05101190’ of ‘Tab+’, afhankelijk van de SHARPEXT-versie). Het specifieke trefwoord wordt door de kwaadwillende in de titel ingevoegd. extensie wanneer een actief tabblad verandert of wanneer een pagina wordt geladen.”

Volexiteit

Het bericht vervolgde:

De verzonden toetsaanslagen zijn gelijk aan: Control+Shift+J, de snelkoppeling om het DevTools-paneel in te schakelen. Ten slotte verbergt het PowerShell-script het nieuw geopende DevTools-venster met behulp van de ShowWindow() API en de SW_HIDE vlag. Aan het einde van dit proces is DevTools ingeschakeld op het actieve tabblad, maar het venster is verborgen.

Bovendien wordt dit script gebruikt om vensters te verbergen die het slachtoffer zouden kunnen waarschuwen. Microsoft Edge geeft bijvoorbeeld periodiek een waarschuwingsbericht aan de gebruiker (Afbeelding 5) als extensies worden uitgevoerd in de ontwikkelaarsmodus. Het script controleert constant of dit venster verschijnt en verbergt het met behulp van de ShowWindow() en de SW_HIDE vlag.

Volexiteit

Na installatie kan de extensie de volgende verzoeken uitvoeren:

HTTP POST-gegevens Beschrijving
modus=lijst Maak een lijst van eerder verzamelde e-mail van het slachtoffer om ervoor te zorgen dat er geen duplicaten worden geüpload. Deze lijst wordt voortdurend bijgewerkt terwijl SHARPEXT wordt uitgevoerd.
modus=domein Maak een lijst van e-maildomeinen waarmee het slachtoffer eerder heeft gecommuniceerd. Deze lijst wordt voortdurend bijgewerkt terwijl SHARPEXT wordt uitgevoerd.
modus = zwart Verzamel een zwarte lijst met afzenders van e-mail die genegeerd moeten worden bij het verzamelen van e-mail van het slachtoffer.
mode=nieuwD&d=[data] Voeg een domein toe aan de lijst met alle domeinen die het slachtoffer heeft bekeken.
mode=bijvoegen&naam=[data]&idx=[data]&lichaam=[data] Upload een nieuwe bijlage naar de externe server.
modus=nieuw&mid=[data]&mbody=[data] Upload Gmail-gegevens naar de externe server.
modus=attlist Becommentarieerd door de aanvaller; ontvang een bijlagenlijst die moet worden geëxfiltreerd.
mode=new_aol&mid=[data]&mbody=[data] Upload AOL-gegevens naar de externe server.

SHARPEXT stelt de hackers in staat om lijsten met e-mailadressen te maken die ze kunnen negeren en om e-mail of bijlagen bij te houden die al zijn gestolen.

Volexity heeft de volgende samenvatting gemaakt van de orkestratie van de verschillende SHARPEXT-componenten die het heeft geanalyseerd:

Volexiteit

De blogpost bevat afbeeldingen, bestandsnamen en andere indicatoren die getrainde mensen kunnen gebruiken om te bepalen of ze het doelwit of geïnfecteerd zijn door deze malware. Het bedrijf waarschuwde dat de dreiging die het vormt in de loop van de tijd is toegenomen en waarschijnlijk niet snel zal verdwijnen.

“Toen Volexity SHARPEXT voor het eerst ontmoette, leek het een tool in de vroege ontwikkeling te zijn die talloze bugs bevatte, een indicatie dat de tool onvolwassen was”, aldus het bedrijf. “De laatste updates en het voortdurende onderhoud tonen aan dat de aanvaller zijn doelen bereikt en waarde vindt in het verder verfijnen ervan.”

Leave a Comment