Versuche, unsere Daten von Cyberkriminellen zu beschlagnahmen, die im Internet operieren, können uns auf vielen Wegen erreichen. Kürzlich wurde eine bösartige Erweiterung entdeckt, die in installiert ist Google Chrome und das betrifft unsere E-Mail.
Wir erzählen Ihnen das alles, weil gerade eine Gruppe von Angreifern namens Kimsuky diese Methode verwendet, von der wir Ihnen erzählen. Um unsere Computer zu erreichen, verwenden sie eine bösartige Browsererweiterung, die dafür verantwortlich ist E-Mails stehlen von Google Chrome bzw Edge Benutzer. Insbesondere ermöglicht es diesen Angreifern nach der Installation, unsere Webmail-Nachrichten zu lesen.
Sobald wir wissen, was es ist, müssen wir bedenken, dass die Erweiterung aufgerufen wird Sharpext und wurde von Volexity-Forschern entdeckt. Zu sagen, dass es mit drei Webbrowsern kompatibel ist, die auf der Chromium-Engine basieren: Chrome, Edge und Wal. Im Gegenzug ist es in der Lage, unsere E-Mails von Gmail- und AOL-Konten zu stehlen. Sobald die schädliche Erweiterung installiert ist, kompromittiert sie das System mithilfe eines benutzerdefinierten VBS-Skripts. Hier werden die Preferences- und Secure Preferences-Dateien durch Dateien ersetzt, die vom Malware Control Server heruntergeladen wurden.
Sobald die neuen Dateien, die wir erwähnt haben, auf den infizierten Computer heruntergeladen wurden, wird die Web-Browser lädt automatisch die Sharpext-Erweiterung. Die Malware analysiert und filtert dann direkt Daten aus dem Webmail-Konto des Opfers, während wir uns darin bewegen. Tatsächlich können wir sagen, dass sich die Erweiterung im Laufe der Zeit weiterentwickelt hat und derzeit in Version 3.0 vorliegt.
Sharpext, die Chrome-Erweiterung, die E-Mails stiehlt
Zu allem, was gesagt wurde, können wir das hinzufügen, weil hier die Erweiterung nutzt die Sitzung bereits damit begonnen, E-Mails zu stehlen, bleibt der Angriff unbemerkt. All dies erstreckt sich sowohl auf den E-Mail-Anbieter selbst als auch auf das Opfer. Kurz gesagt, seine Funktionsweise macht seine Erkennung sehr schwierig, fast unmöglich. Gleichzeitig ist es wichtig zu wissen, dass der Workflow der Erweiterung keine verdächtigen Aktivitätswarnungen für E-Mail-Konten auslöst.
Dadurch wird sichergestellt, dass böswillige Aktivitäten nicht aufgedeckt werden, wenn die Kontostatusseite auf potenzielle Warnungen überprüft wird. Wie Sie sich vorstellen können, macht dieses Verhalten den Angriff gleichmäßiger gefährlicher und effektiver für diejenigen, die daran interessiert sind, unsere Nachrichten zu erhalten. Darüber hinaus ist dieselbe Chrome-Erweiterung dafür verantwortlich, die vom Opfer gesammelten E-Mails aufzulisten, damit keine Duplikate geladen werden.
Ebenso scannt es die Domänen, mit denen wir zuvor kommuniziert haben, und erstellt eine schwarze Liste von Absendern, die beim Sammeln dieser E-Mails ignoriert werden müssen. Andererseits fügt der Angriff der Liste der zuvor gesehenen E-Mails eine neue Domain hinzu und lädt einen neuen Anhang auf den Remote-Server hoch. Es sei darauf hingewiesen, dass dies nicht das erste Mal ist, dass diese nordkoreanische Gruppe verwendet wird Browser-Erweiterungen vertrauliche Daten aus kompromittierten Systemen zu sammeln und zu extrahieren, hat also bereits Erfahrung.
