Tin tặc Triều Tiên sử dụng tiện ích mở rộng độc hại trên trình duyệt để theo dõi tài khoản email

22:00 | 15/08/2022 | HACKER / MALWARE

Một nhóm tin tặc hoạt động với mục địch tài chính được cho là có liên quan đến Triều Tiên đã triển khai một tiện ích mở rộng độc hại trên các trình duyệt web dựa trên Chromium, có khả năng đánh cắp nội dung email từ Gmail và AOL.

Công ty an ninh mạng Volexity (Hoa Kỳ) đã phát hiện phần mềm độc hại này đến từ một nhóm tin tặc có tên gọi là SharpTongue, nhóm này được cho là có nhiều điểm tương đồng với một nhóm gián điệp mạng có trụ sở tại được gọi công khai dưới cái tên Kimsuky.

Lịch sử hoạt động của SharpTongue gồm các tin tặc làm việc cho các tổ chức ở Hoa Kỳ, châu Âu và Hàn Quốc về các chủ đề liên quan đến Triều Tiên, các vấn đề hạt nhân, hệ thống vũ khí và các vấn đề chiến lược khác mà Triều Tiên quan tâm.

Việc SharpTongue sử dụng các tiện ích mở rộng (plugin) giả mạo trong các cuộc tấn công không phải là điều mới. Vào năm 2018, một tin tặc đã bị phát hiện sử dụng một plugin của Chrome như một phần của chiến dịch có tên Stolen Pencil để lây nhiễm cho nạn nhân và đánh cắp cookie và mật khẩu của trình duyệt.

Điểm khác biệt ở chiến dịch này là plugin có tên Sharpext nhắm mục tiêu đánh cắp dữ liệu Các nhà nghiên cứu của Volexity cho biết: "Phần mềm độc hại trực tiếp kiểm tra và lấy dữ liệu từ tài khoản email của nạn nhân khi họ sử dụng trình duyệt".

Tin tặc Triều Tiên sử dụng tiện ích mở rộng độc hại trên trình duyệt để theo dõi tài khoản email

Hình 1. Quy trình tấn công plugin Sharpext

Các trình duyệt được nhắm mục tiêu bao gồm trình duyệt Google Chrome, Microsoft Edge và Naver's Whale với phần mềm độc hại đánh cắp email được thiết kế để thu thập thông tin từ các phiên Gmail và AOL.

Việc cài đặt tiện ích bổ sung được thực hiện bằng cách thay thế các tệp tùy chọn và tùy chọn bảo mật của trình duyệt bằng các tệp nhận được từ máy chủ điều khiển từ xa.

Hình 2. Mã nguồn sử dụng để tải xuống và cài đặt plugin độc hại

Hình 3. Mã nguồn xác định các yêu cầu có liên quan

Nhóm tin tặc SharpTongue khai thác thành công bằng cách bật bảng DevTools trong tab đang hoạt động, để lấy cắp email và tệp đính kèm từ hộp thư của người dùng, đồng thời thực hiện các bước để ẩn bất kỳ thông báo nào về việc chạy tiện ích mở rộng chế độ nhà phát triển.

Volexity đã mô tả chiến dịch là khá thành công, với lý do tin tặc có khả năng đánh cắp hàng nghìn email từ nhiều nạn nhân thông qua việc triển khai plugin độc hại.

Các nhà nghiên cứu cho biết: “Đây là lần đầu tiên Volexity quan sát thấy các plugin độc hại trên trình duyệt được sử dụng như một phần của giai đoạn hậu khai thác. Bằng cách đánh cắp dữ liệu email trong bối cảnh phiên đã đăng nhập của người dùng. Do đó, cuộc tấn công được ẩn khỏi nhà cung cấp email, khiến việc phát hiện trở nên rất khó khăn".

Các phát hiện được đưa ra vài tháng sau khi các tin tặc của nhóm Kimsuky có liên quan đến các cuộc xâm nhập chống lại các tổ chức chính trị ở Nga và Hàn Quốc để cung cấp phiên bản cập nhật của trojan truy cập từ xa được gọi là Konni.

Trước đó vào trung tuần tháng 7/2022, công ty an ninh mạng Securonix (Hoa Kỳ) đã cung cấp thông tin chi tiết của một loạt các cuộc tấn công đang diễn ra nhằm khai thác các mục tiêu có giá trị cao, nhắm vào Cộng hòa Séc, Ba Lan và các quốc gia khác như một phần của chiến dịch có tên mã STIFF # BIZON nhằm phát tán phần mềm độc hại Konni.

Mặc dù, chiến thuật và công cụ được sử dụng trong các cuộc tấn công chỉ ra mối liên hệ với một nhóm tin tặc của Triều Tiên có tên APT37, nhưng bằng chứng thu thập được liên quan đến cơ sở hạ tầng tấn công cho thấy có sự tham gia của nhóm tin tặc APT28 (hay còn gọi là Fancy Bear hoặc Sofacy) liên quan đến Nga.

Các nhà nghiên cứu cho biết: “Điều làm cho cuộc tấn công này trở nên thú vị là việc sử dụng phần mềm độc hại Konni kết hợp với các điểm tương đồng về phương thức hoạt động với APT28. Tuy nhiên, không loại trừ khả năng việc một nhóm tin tặc giả mạo để gây nhầm lẫn giữa việc phân bổ khu vực hoạt động và ẩn danh".

Nguyệt Thu

(theo thehackernews)

‹ › ×

Tin liên quan

Tin tặc Triều Tiên bị tố cáo tấn công các trang thương mại điện tử

17:00 | 23/07/2020

Theo báo cáo vừa được công bố của hãng bảo mật SanSec (Hà Lan), các tin tặc có nguồn gốc từ Triều Tiên đã và đang đột nhập vào các cửa hàng trực tuyến, trang web thương mại điện tử để cài mã độc nhằm đánh cắp thông tin thẻ tín dụng của người dùng.

Tin tặc Triều Tiên sử dụng mã độc Dolphin để thực hiện các hoạt động gián điệp đánh cắp dữ liệu

14:00 | 14/12/2022

Các nhà nghiên cứu tại công ty an ninh mạng ESET (Slovakia) đã phát hiện một dạng mã độc với các khả năng gián điệp có thể hoạt động như một backdoor trên các hệ thống bị lây nhiễm, với tên gọi là “Dolphin”, mã độc này được các tin tặc Triều Tiên sử dụng trong các chiến dịch trong nhiều năm nay để thực hiện đánh cắp dữ liệu các tệp và gửi chúng tới bộ lưu trữ Google Drive để kiểm soát.

Mỹ đòi Triều Tiên bồi thường thiệt hại vụ tấn công mạng Sony

11:45 | 23/12/2014

Theo AFP, ngày 22/12, Mỹ đã hối thúc Triều Tiên thừa nhận đã ra lệnh tiến hành cuộc tấn công mạng nhằm vào hãng phim Sony Pictures và bồi thường thiệt hại mà Bình Nhưỡng đã gây ra.

Phát hiện tiện ích mở rộng độc hại cho phép tin tặc kiểm soát Google Chrome từ xa

14:00 | 21/11/2022

Các nhà nghiên cứu tại công ty bảo mật di động Zimperium (Hoa Kỳ) phát hiện một mạng botnet mới phát tán thông qua tiện ích trên trình duyệt Chrome có tên là Cloud9, thực hiện đánh cắp tài khoản trực tuyến, theo dõi các thao tác trên bàn phím, chèn quảng cáo và mã JS độc hại, đồng thời sử dụng trình duyệt của nạn nhân phục vụ cho các cuộc tấn công DDoS.

Nhóm tin tặc Iron Tiger tấn công chuỗi cung ứng để triển khai phần mềm độc hại

12:00 | 25/08/2022

Theo báo cáo của Trend Micro, nhóm tin tặc có liên quan đến Trung Quốc, Iron Tiger đã sử dụng các máy chủ bị xâm nhập của một ứng dụng trò chuyện để phân phối phần mềm độc hại tới các hệ thống Windows và macOS.

Tính năng kiểm tra chính tả trong Google Chrome và Microsoft Edge làm rò rỉ mật khẩu người dùng

10:00 | 03/10/2022

Các tính năng kiểm tra lỗi chính tả có trong hai trình duyệt Google Chrome và Microsoft Edge đang làm rò rỉ thông tin nhạy cảm của người dùng, khi người dùng thực hiện điền vào biểu mẫu trên các trang web phổ biến và ứng dụng doanh nghiệp dựa trên đám mây.

GitHub cảnh báo về các cuộc tấn công kỹ nghệ xã hội của Triều Tiên nhắm mục tiêu vào các công ty công nghệ

16:00 | 03/08/2023

Theo GitHub, một nhóm tin tặc Triều Tiên đang nhắm mục tiêu vào nhân viên tại các công ty công nghệ trong một chiến dịch tấn kỹ thuật xã hội gần đây bằng các gói NPM độc hại.

Cảnh báo về 5 tiện ích mở rộng của Chrome đánh cắp dữ liệu duyệt web

10:00 | 19/09/2022

Cuối tháng 8, các nhà phân tích mối đe dọa tại hãng bảo mật McAfee (Hoa Kỳ) đã công bố báo cáo về 5 tiện ích mở rộng độc hại của trình duyệt Google Chrome thực hiện đánh cắp dữ liệu duyệt web, với tổng số lượt cài đặt hơn 1,4 triệu người dùng.

Nhóm tin tặc Lazarus của Triều Tiên nhắm mục tiêu vào ngành công nghiệp quốc phòng trong chiến dịch APT Dream Job

12:00 | 25/10/2023

Nhóm tin tặc Lazarus có liên kết với Cộng hòa Dân chủ Nhân dân Triều Tiên (còn gọi là Hidden Cobra hoặc TEMP.Hermit) đã bị phát hiện sử dụng các phiên bản nhiễm trojan của VNC (Virtual Network Computing) để nhắm mục tiêu vào ngành công nghiệp quốc phòng và các kỹ sư hạt nhân như một phần của chiến dịch APT mang tên Dream Job.

Tin cùng chuyên mục

Rò rỉ 272 nghìn dữ liệu quân nhân của Anh

10:00 | 14/05/2024

Bộ Quốc phòng Anh vừa tiết lộ một vụ vi phạm dữ liệu tại hệ thống trả lương của bên thứ ba làm lộ dữ liệu của 272 nghìn quân nhân và cựu chiến binh trong lực lượng vũ trang.

Phân tích kỹ thuật lừa đảo mới nhằm phát tán phần mềm độc hại trên GitHub

09:00 | 28/04/2024

Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.

Vén màn chiến dịch gián điệp mạng LightSpy

11:00 | 26/04/2024

Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.

Quỹ Tiền tệ Quốc tế bị tấn công mạng

15:00 | 25/03/2024

Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.