Ερευνητές ασφαλείας ανακάλυψαν μια κακόβουλη επέκταση προγράμματος περιήγησης για το Chrome και άλλα προγράμματα περιήγησης που βασίζονται σε Chromium, ικανά να υποκλέψουν τα περιεχόμενα του λογαριασμού email σας στο Gmail.
Η εκστρατεία κακόβουλου λογισμικού εντοπίστηκε από δύο υπηρεσίες εθνικής ασφάλειας – τη Γερμανική Ομοσπονδιακή Υπηρεσία για την Προστασία του Συντάγματος και την Εθνική Υπηρεσία Πληροφοριών της Δημοκρατίας της Κορέας.
Αυτά τα δύο πρακτορεία εξέδωσαν κοινή δήλωση, προειδοποιώντας για την εκστρατεία, καλώντας τους ανθρώπους να είναι σε εγρήγορση, αλλά ιδιαίτερα τους διπλωμάτες, τους δημοσιογράφους, τους καθηγητές πανεπιστημίου, τους πολιτικούς και τους κρατικούς υπαλλήλους, που σύμφωνα με πληροφορίες είναι οι κύριοι στόχοι.
Παραδίδεται μέσω phishing
Το AF είναι ένα πρόσθετο του Google Chrome που διανέμεται από έναν παράγοντα απειλών γνωστό ως Kimsuky (ή Thallium). Αυτός ο παράγοντας απειλής εδρεύει στη Βόρεια Κορέα, ισχυρίζονται οι δύο υπηρεσίες, και φέρεται να στοχεύει άτομα υψηλού προφίλ στα προγράμματα κυβερνοκατασκοπείας τους.
Ενώ αρχικά επικεντρωνόταν στους στόχους της Νότιας Κορέας, το Thallium πρόσφατα επέκτεινε τη λίστα στόχων του στην Ευρώπη και τις Ηνωμένες Πολιτείες.
Η AF παραδίδεται στα θύματά της μέσω phishing. Η ομάδα έστελνε το συνηθισμένο "επείγον" email, λέγοντας στο θύμα να κατεβάσει το πρόσθετο στο τελικό σημείο του (ανοίγει σε νέα καρτέλα) . Εάν εγκατασταθεί, το κακόβουλο λογισμικό δεν θα εμφανίζεται στη λίστα των πρόσθετων στο Chrome και θα είναι ορατό μόνο στη λίστα επεκτάσεων. Μόλις εγκατασταθεί, χρειάζεται μόνο μία επίσκεψη στο Gmail για να τρέξει το πρόσθετο και να εξαγάγει όλες τις δραστηριότητές του.
Ο Kimsuky φαίνεται να είναι ένας κρατικός ηθοποιός που επικεντρώνεται στην κυβερνοκατασκοπεία και τη συλλογή πληροφοριών. Σύμφωνα με την CISA, ο όμιλος δραστηριοποιείται για περισσότερο από μια δεκαετία.
Το 2015, κατηγορήθηκε για κλοπή ευαίσθητων δεδομένων από την Korea Hydro & Nuclear Power, και τέσσερα χρόνια αργότερα, το 2019, κατηγορήθηκε ότι στόχευσε συνταξιούχους διπλωμάτες της Νότιας Κορέας, στρατιωτικούς και κυβερνητικούς αξιωματούχους. Πριν από δύο χρόνια, ο Κιμσούκι κατηγορήθηκε ότι κρύβεται στα εσωτερικά δίκτυα που ανήκουν στο Ινστιτούτο Ερευνών Ατομικής Ενέργειας της Κορέας.
μέσω: BleepingComputer (ανοίγει σε νέα καρτέλα)