Kuzey Kore destekli bilgisayar korsanlarının Gmail’inizi okumak için akıllı bir yolu var


Kuzey Kore destekli bilgisayar korsanlarının Gmail'inizi okumak için akıllı bir yolu var

Getty Resimleri

Araştırmacılar, Kuzey Koreli bilgisayar korsanlarının virüs bulaşmış kullanıcıların Gmail ve AOL hesaplarındaki e-postaları ve ekleri gizlice okumak ve indirmek için kullandığı daha önce hiç görülmemiş kötü amaçlı yazılımları ortaya çıkardı.

Volexity, güvenlik firması Volexity’den araştırmacılar tarafından SHARPEX olarak adlandırılan kötü amaçlı yazılımın, Chrome ve Edge tarayıcıları için bir tarayıcı uzantısı yüklemek için akıllı araçlar kullandığını bildirdi. Blog yazısı. Uzantı, e-posta hizmetleri tarafından algılanamaz ve tarayıcının kimliği, herhangi bir çok faktörlü kimlik doğrulama koruması kullanılarak zaten doğrulanmış olduğundan, giderek daha popüler hale gelen bu güvenlik önlemi, hesap güvenliğinin ihlal edilmesinde hiçbir rol oynamaz.

Volexity, kötü amaçlı yazılımın “bir yıldan uzun süredir” kullanıldığını ve şirketin SharpTongue olarak takip ettiği bir bilgisayar korsanlığı grubunun çalışması olduğunu söyledi. Grup, Kuzey Kore hükümeti tarafından destekleniyor ve diğer araştırmacılar tarafından Kimsuky olarak izlenen bir grupla örtüşüyor. SHARPEX, Kuzey Kore’nin kendi ulusal güvenliği için önemli gördüğü nükleer silahlar ve diğer konular üzerinde çalışan ABD, Avrupa ve Güney Kore’deki kuruluşları hedef alıyor.

Volexity Başkanı Steven Adair bir e-postada, uzantının “kurbanın kötü niyetli bir belgeyi açması için kandırıldığı, hedef odaklı kimlik avı ve sosyal mühendislik yoluyla yüklendiğini” söyledi. kurbanın, kalıcılık ve veri hırsızlığı için bir sömürü sonrası mekanizma olmasına karşı bir tarayıcı uzantısı yüklemesini sağlayın.” Mevcut sürümünde, kötü amaçlı yazılım yalnızca Windows’ta çalışır, ancak Adair, macOS veya Linux’ta çalışan tarayıcılara da bulaşmak için genişletilmemesi için hiçbir neden olmadığını söyledi.

Blog yazısı şunları ekledi: “Volexity’nin kendi görünürlüğü, uzantının oldukça başarılı olduğunu gösteriyor, çünkü Volexity tarafından elde edilen günlükler, saldırganın kötü amaçlı yazılımın dağıtımı yoluyla birden fazla kurbandan binlerce e-postayı başarıyla çalabildiğini gösteriyor.”

Kimlik avı işlemi sırasında son kullanıcı fark etmeden bir tarayıcı uzantısı yüklemek kolay değildir. SHARPEX geliştiricileri, yayınlananlar gibi araştırmalara açıkça dikkat ettiler burada, buradave buradaChromium tarayıcı motorundaki bir güvenlik mekanizmasının, kötü amaçlı yazılımların hassas kullanıcı ayarlarında değişiklik yapmasını nasıl engellediğini gösterir. Her meşru değişiklik yapıldığında, tarayıcı kodun bir kısmının kriptografik karmasını alır. Başlangıçta, tarayıcı karmaları doğrular ve bunlardan herhangi biri eşleşmezse tarayıcı eski ayarların geri yüklenmesini ister.

Saldırganların bu korumayı aşmaları için, önce ele geçirdikleri bilgisayardan aşağıdakileri çıkarmaları gerekir:

  • Tarayıcıdan resource.pak dosyasının bir kopyası (Chrome tarafından kullanılan HMAC tohumunu içerir)
  • kullanıcının S-ID değeri
  • Kullanıcının sisteminden orijinal Tercihler ve Güvenli Tercihler dosyaları

Tercih dosyalarını değiştirdikten sonra, SHARPEXT uzantıyı otomatik olarak yükler ve tarayıcının özelleştirilmiş kod ve ayarları çalıştırmasını sağlayan bir ayar olan DevTools’u etkinleştiren bir PowerShell betiği yürütür.

Volexity, “Komut dosyası, hedeflenen tarayıcılarla ilişkili işlemleri kontrol eden sonsuz bir döngüde çalışır” dedi. “Herhangi bir hedeflenen tarayıcının çalıştığı tespit edilirse, komut dosyası belirli bir anahtar kelime için sekme başlığını kontrol eder (örneğin, SHARPEXT sürümüne bağlı olarak ‘05101190’ veya ‘Tab+’). etkin bir sekme değiştiğinde veya bir sayfa yüklendiğinde kötü amaçlı uzantı.”

hareketlilik

Yazı şöyle devam etti:

Gönderilen tuş vuruşları eşdeğerdir Control+Shift+J, DevTools panelini etkinleştirmek için kısayol. Son olarak, PowerShell betiği, yeni açılan DevTools penceresini aşağıdakileri kullanarak gizler: ShowWindow() API’si ve SW_HIDE bayrak. Bu işlemin sonunda aktif sekmede DevTools etkinleştirilir ancak pencere gizlenir.

Ayrıca bu komut dosyası, kurbanı uyarabilecek pencereleri gizlemek için kullanılır. Örneğin Microsoft Edge, uzantılar geliştirici modunda çalışıyorsa kullanıcıya periyodik olarak bir uyarı mesajı görüntüler (Şekil 5). Komut dosyası, bu pencerenin görünüp görünmediğini sürekli olarak kontrol eder ve aşağıdakileri kullanarak gizler: ShowWindow() ve SW_HIDE bayrak.

hareketlilik

Uzantı yüklendikten sonra aşağıdaki istekleri gerçekleştirebilir:

HTTP POST Verileri Tanım
mod=liste Yinelenenlerin yüklenmediğinden emin olmak için kurbandan daha önce toplanan e-postaları listeleyin. Bu liste, SHARPEX yürütülürken sürekli olarak güncellenir.
mod=etki alanı Kurbanın daha önce iletişim kurduğu e-posta alanlarını listeleyin. Bu liste, SHARPEX yürütülürken sürekli olarak güncellenir.
mod=siyah Kurbandan e-posta toplarken göz ardı edilmesi gereken bir kara liste e-posta gönderenleri toplayın.
mod=yeniD&d=[data] Kurban tarafından görüntülenen tüm alan adlarının listesine bir alan ekleyin.
mod=ekle&ad=[data]&idx=[data]&gövde=[data] Uzak sunucuya yeni bir ek yükleyin.
mod=yeni&orta=[data]&mbody=[data] Gmail verilerini uzak sunucuya yükleyin.
mod=dikkat listesi Saldırganın yorumu; sızdırılacak bir ek listesi alın.
mode=new_aol&mid=[data]&mbody=[data] AOL verilerini uzak sunucuya yükleyin.

SHARPEX, bilgisayar korsanlarının yok sayılacak e-posta adresleri listeleri oluşturmasına ve çalınmış olan e-postaları veya ekleri takip etmesine olanak tanır.

Volexity, analiz ettiği çeşitli SHARPEX bileşenlerinin orkestrasyonunun aşağıdaki özetini oluşturdu:

hareketlilik

Blog gönderisi, eğitimli kişilerin bu kötü amaçlı yazılım tarafından hedeflenip hedeflenmediklerini veya bu kötü amaçlı yazılımdan etkilenip etkilenmediklerini belirlemek için kullanabilecekleri resimler, dosya adları ve diğer göstergeleri sağlar. Şirket, oluşturduğu tehdidin zamanla büyüdüğü ve yakın zamanda ortadan kalkmayacağı konusunda uyardı.

Şirket, “Volexity, SHARPEXT ile ilk karşılaştığında, çok sayıda hata içeren erken geliştirmede bir araç gibi görünüyordu, bu aracın olgunlaşmamış olduğunun bir göstergesiydi” dedi. “En son güncellemeler ve devam eden bakım, saldırganın hedeflerine ulaştığını ve onu iyileştirmeye devam etmede değer bulduğunu gösteriyor.”



Kaynak : https://arstechnica.com/?p=1871426

Yorum yapın