Turvauurijad avastasid pahatahtliku brauseri laienduse Chrome'ile ja teistele Chromiumipõhistele brauseritele, mis võivad varastada teie Gmaili meilikonto sisu.
Pahavarakampaaniat märkasid kaks riiklikku julgeolekuagentuuri – Saksamaa põhiseaduse kaitse föderaalne amet ja Korea Vabariigi riiklik luureteenistus.
Need kaks agentuuri tegid ühisavalduse, milles hoiatasid kampaania eest, kutsudes inimesi üles olema valvsad, kuid eriti diplomaate, ajakirjanikke, ülikoolide õppejõude, poliitikuid ja valitsustöötajaid, kes kõik on väidetavalt peamised sihtmärgid.
Tarnitakse andmepüügi kaudu
AF on Google Chrome'i lisandmoodul, mida levitab Kimsuky (või Tallium) tuntud ohutegija. Kahe agentuuri väitel asub see ohustaja Põhja-Koreas ja on väidetavalt sihikule oma küberspionaažiprogrammides kõrgetasemeliste isikute vastu.
Kuigi algselt keskendus Tallium Lõuna-Korea sihtmärkidele, laiendas Tallium hiljuti oma sihtmärkide loendit Euroopasse ja Ameerika Ühendriikidesse.
AF toimetatakse ohvritele andmepüügi kaudu. Rühm saadaks välja tavalise kiireloomulise e-kirja, käskides ohvril oma lõpp-punkti lisandmoodul alla laadida (avaneb uuel vahelehel) . Kui pahavara on installitud, ei kuvata seda Chrome'i lisandmoodulite loendis ja see on nähtav ainult laienduste loendis. Pärast installimist kulub pistikprogrammi käivitamiseks ja kõigi oma tegevuste ekstraktimiseks vaid üks Gmaili külastus.
Kimsuky näib olevat riiklikult toetatud näitleja, kes keskendub küberspionaažile ja luureandmete kogumisele. CISA andmetel on rühmitus tegutsenud üle kümne aasta.
2015. aastal süüdistati seda Korea Hydro & Nuclear Power tundlike andmete varastamises ning neli aastat hiljem, 2019. aastal, sihikule seadmises Lõuna-Korea pensionil olevate diplomaatide, sõjaväelaste ja valitsusametnike vastu. Kaks aastat tagasi süüdistati Kimsukyt Korea aatomienergia uurimisinstituudile kuuluvates sisevõrkudes varitsemises.
Via: BleepingComputer (avaneb uuel vahelehel)