【門常開】惡意程式化身瀏覽器延伸工具 北韓黑客暗讀Gmail帳戶內容
不少人為了提升瀏覽器的使用經驗,都會為瀏覽器安裝延伸工具,例如即時翻譯、屏幕截圖等。不過,黑客亦會利用這途徑竊取目標人物私隱資料,例如北韓黑客集團便透過魚叉式釣魚電郵攻擊鎖定攻擊目標,誘使對方打開惡意附件化身為延伸工具後,便可利用儲存的登入憑證隨意進入 Gmail 帳戶,神不知鬼不覺。
網絡安全公司 Volexity 為客戶提供威脅情報服務及電腦搜證服務,而在提供鑑證服務時,便經常在受感染電腦內發現這款被稱為 SharpTongue 的惡意軟件,安全專家指它與北韓黑客集團 Kimsuky 有關。SharpTongue 入侵工具的詳細分析早於 2021 年出現,這個黑客集團專門針對美國、歐洲及南韓的企業及機構,特別是該機關與調查北韓事務、核技術、國防武器,更會成為頭號入侵對象。
不過,Volexity 在近來的調查發現,背後的黑客集團正開始使用一款專門用來盜取電郵內容的惡意瀏覽器延伸工具 SHARPEXT,相比起 SharpTongue 以盜取帳戶登入資料為目的,SHARPEXT 在安裝到瀏覽器後,便會利用受害者儲存在瀏覽器內的雲端電郵帳戶登入 sessions,進入受害者的電郵信箱內搜集所需資料及下載有用的電郵附件。由於帳戶已在早前經驗證登入,因此電郵服務供應商難以發現帳戶正被入侵,從而增加偵測的難度。
Volexity 專家說 SHARPEXT 對三款 Chromium 瀏覽器有效,包括大家熟悉的 Google Chrome 及 Microsoft Edge,另一款則為 Whale,它是一款由南韓公司開發的瀏覽器,幾乎只有南韓人在使用。由於 SHARPEXT 攻擊是由魚叉式釣魚電郵發動,因此專家呼籲企業應定期為員工進行安全意識培訓,令員工不易受到社交工程攻擊,於源頭阻止黑客入侵。
相關文章:【以假亂真】Green Radar電郵威脅指數報告:惡意攻擊本地化冒充稅局港燈
https://www.wepro180.com/greti220727/
