Istraživači sigurnosti su otkrili zlonamjerno proširenje preglednika za Chrome i druge preglednike zasnovane na Chromiumu koje mogu ukrasti sadržaj vašeg Gmail računa e-pošte.
Kampanju zlonamjernog softvera uočile su dvije agencije za nacionalnu sigurnost – njemački savezni ured za zaštitu ustava i Nacionalna obavještajna služba Republike Koreje.
Ove dvije agencije objavile su zajedničko saopštenje u kojem upozoravaju na kampanju, pozivajući ljude na oprez, a posebno diplomate, novinare, univerzitetske profesore, političare i vladine službenike, koji su svi navodno glavne mete.
Isporučeno putem phishinga
AF je dodatak za Google Chrome koji distribuira pretnja poznat kao Kimsuky (ili Thallium). Ovaj akter prijetnje smješten je u Sjevernoj Koreji, tvrde dvije agencije, i navodno cilja na visokoprofilirane pojedince u njihovim programima sajber špijunaže.
Iako je u početku bio fokusiran na južnokorejske mete, Thalium je nedavno proširio svoju listu ciljeva na Evropu i Sjedinjene Države.
AF se isporučuje žrtvama putem phishinga. Grupa bi poslala uobičajenu "hitnu" e-poštu, govoreći žrtvi da preuzme dodatak na svoju krajnju tačku (otvara se u novoj kartici) . Ako je instaliran, zlonamjerni softver se neće pojaviti na listi dodataka u Chromeu i bit će vidljiv samo na listi ekstenzija. Jednom instaliran, potrebna je samo jedna posjeta Gmailu da bi se dodatak pokrenuo i izdvojio sve svoje aktivnosti.
Čini se da je Kimsuky glumac kojeg sponzorira država fokusiran na sajber špijunažu i prikupljanje obavještajnih podataka. Prema CISA-i, grupa je aktivna više od jedne decenije.
Godine 2015. optužena je za krađu osjetljivih podataka iz Korea Hydro & Nuclear Power, a četiri godine kasnije, 2019., optužena je za napad na penzionisane južnokorejske diplomate, vojne i vladine zvaničnike. Prije dvije godine, Kimsuky je optužen da vreba u internim mrežama koje pripadaju Korejskom institutu za istraživanje atomske energije.
Via: BleepingComputer (otvara se u novoj kartici)