Bezpečnostní výzkumníci objevili škodlivé rozšíření prohlížeče pro Chrome a další prohlížeče založené na Chromiu, které je schopné ukrást obsah vašeho e-mailového účtu Gmail.
Malwarovou kampaň zaznamenaly dvě národní bezpečnostní agentury – německý Spolkový úřad pro ochranu ústavy a Národní zpravodajská služba Korejské republiky.
Tyto dvě agentury vydaly společné prohlášení, ve kterém varovaly před kampaní a vyzývaly lidi, aby byli ostražití, ale zejména diplomaty, novináře, univerzitní profesory, politiky a vládní zaměstnance, kteří jsou údajně hlavními cíli.
Doručeno prostřednictvím phishingu
AF je doplněk Google Chrome distribuovaný hrozbou známým jako Kimsuky (nebo Thallium). Tyto dvě agentury tvrdí, že tento aktér hrozeb sídlí v Severní Koreji a ve svých programech kybernetické špionáže se údajně zaměřuje na vysoce postavené osoby.
Zatímco se Thallium zpočátku zaměřovalo na jihokorejské cíle, nedávno rozšířilo svůj seznam cílů do Evropy a Spojených států.
AF je doručován svým obětem prostřednictvím phishingu. Skupina rozešle obvyklý „naléhavý“ e-mail, ve kterém oběti řekne, aby si stáhla doplněk na svůj koncový bod (otevře se na nové kartě) . Pokud je malware nainstalován, nezobrazí se v seznamu doplňků v prohlížeči Chrome a bude viditelný pouze v seznamu rozšíření. Po instalaci stačí jedna návštěva Gmailu, aby se doplněk spustil a extrahoval všechny jeho aktivity.
Zdá se, že Kimsuky je státem sponzorovaný herec zaměřený na kyberšpionáž a shromažďování zpravodajských informací. Podle CISA je skupina aktivní více než deset let.
V roce 2015 byla obviněna z krádeže citlivých dat společnosti Korea Hydro & Nuclear Power a o čtyři roky později, v roce 2019, byla obviněna z toho, že se zaměřila na vysloužilé jihokorejské diplomaty, armádu a vládní úředníky. Před dvěma lety byl Kimsuky obviněn z toho, že číhal ve vnitřních sítích Korejského institutu pro výzkum atomové energie.
Ulice: BleepingComputer (otevře se na nové kartě)