Các nỗ lực chiếm đoạt dữ liệu của chúng tôi bởi tội phạm mạng hoạt động trên Internet có thể tiếp cận chúng tôi theo nhiều cách. Một tiện ích mở rộng độc hại gần đây đã được phát hiện được cài đặt trong Google cơ rôm và điều đó ảnh hưởng đến e-mail.
Chúng tôi cho bạn biết tất cả điều này bởi vì ngay bây giờ một nhóm những kẻ tấn công có tên là Kimsuky đang sử dụng phương pháp này mà chúng tôi đang nói với bạn. Để tiếp cận máy tính của chúng tôi, chúng sử dụng một tiện ích mở rộng trình duyệt độc hại chịu trách nhiệm về đánh cắp email từ Google Chrome hoặc Cạnh người dùng. Cụ thể, sau khi được cài đặt, nó cho phép những kẻ tấn công này đọc các thư webmail của chúng tôi.
Khi chúng ta biết nó là gì, chúng ta phải nhớ rằng tiện ích mở rộng được gọi là văn bản sắc nét và được phát hiện bởi các nhà nghiên cứu Volexity. Để nói rằng nó tương thích với ba trình duyệt web dựa trên công cụ Chromium: Chrome, Cạnh và Cá voi. Đổi lại, nó có thể lấy cắp thư của chúng tôi từ các tài khoản Gmail và AOL. Khi tiện ích mở rộng độc hại được cài đặt, nó sẽ xâm nhập hệ thống bằng cách sử dụng tập lệnh VBS tùy chỉnh. Tại đây, các tệp Tùy chọn và Tùy chọn Bảo mật được thay thế bằng các tệp được tải xuống từ máy chủ kiểm soát phần mềm độc hại.
Sau khi các tệp mới mà chúng tôi đề cập đã được tải xuống máy tính bị nhiễm, trình duyệt web tự động tải phần mở rộng Sharpext. Sau đó, phần mềm độc hại trực tiếp phân tích và lọc dữ liệu từ tài khoản webmail của nạn nhân khi chúng tôi di chuyển qua nó. Trên thực tế, chúng ta có thể nói rằng tiện ích mở rộng đã phát triển theo thời gian và hiện đang ở phiên bản 3.0.
Sharpext, tiện ích mở rộng Chrome đánh cắp thư
Đối với tất cả những gì đã nói, chúng ta có thể thêm điều đó bởi vì ở đây tiện ích mở rộng tận dụng phiên đã bắt đầu ăn cắp email, cuộc tấn công không được chú ý. Tất cả những điều này đều được mở rộng cho cả bản thân nhà cung cấp email và nạn nhân. Tóm lại, phương thức hoạt động của nó khiến việc phát hiện ra nó rất khó khăn, gần như là không thể. Đồng thời, điều quan trọng cần biết là quy trình làm việc của tiện ích mở rộng sẽ không kích hoạt bất kỳ cảnh báo hoạt động đáng ngờ nào trên tài khoản email.
Điều này đảm bảo rằng hoạt động độc hại sẽ không bị tiết lộ khi kiểm tra trang trạng thái tài khoản để biết các cảnh báo tiềm năng. Như bạn có thể tưởng tượng, hành vi này làm cho cuộc tấn công thậm chí nguy hiểm và hiệu quả hơn cho những người quan tâm đến việc nắm giữ các tin nhắn của chúng tôi. Ngoài ra, cùng một tiện ích mở rộng của Chrome có trách nhiệm liệt kê các email được thu thập từ nạn nhân để các bản sao không được tải.
Tương tự như vậy, nó quét các miền mà chúng tôi đã liên lạc trước đó và tạo ra một danh sách đen những người gửi phải bị bỏ qua khi thu thập các email này. Mặt khác, cuộc tấn công thêm một miền mới vào danh sách các email đã thấy trước đó và tải tệp đính kèm mới lên máy chủ từ xa. Cần lưu ý rằng đây không phải là lần đầu tiên nhóm nhạc Triều Tiên này sử dụng phần mở rộng trình duyệt để thu thập và trích xuất dữ liệu bí mật từ các hệ thống bị xâm nhập, vì vậy nó đã có kinh nghiệm.
