更多

    北韓駭客竊取 Gmail 新手法 SHARPEXT 惡用 Chrome 擴充功能

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    美國網絡安全機構 Volexity 日前發表報告,指一個受北韓政府支持的駭客集團 SharpTongue 開發出一種新的攻擊手法 SHARPEXT,利用從 Chrome 瀏覽器擴充功能取得的資料,來竊取受害者的 Gmail 內容。

    SHARPEXT 其實 2021 年開始出現的惡意軟件,最初只可以用來攻擊 Chrome ,改良至現在 3.0 版本,已可以用來攻擊 Chrome 、 Microsoft Edge 和另一款基於 Chromium 架構的瀏覽器 Naver Whale 。

    攻擊者在部署 SHARPEXT 之前,需要事前從用戶的電腦取得一些檔案,以便製作出目標電腦的 Chromium 瀏覽器安裝擴充功能時所接納的檔案。這些檔案包括存有 Chrome 所用的 HMAC 種子的瀏覽器 resources.pak 檔案、用戶的 SID 和系統的偏好設定及保安偏好設定檔。取得這些資料後,攻擊者就會製作一個新的保案偏好設定和一般偏好設定檔,以繞過瀏覽器的安全保護,並自動從文件夾中載入嵌入惡意功能的 Chrome 擴充功能。

    SHARPEXT 會透過 Windows PowerShell 腳本程式執行 DevTools ,持續監視受害者電腦瀏覽器的進程,這腳本程式還會關閉受害者的 DevTools 和警告視窗,令受害者難以察覺得自己的瀏覽器被駭。

    SHARPEXT 竊取 Gmail 的過程。
    SHARPEXT 竊取 Gmail 的過程。

    一旦被安裝了惡意擴充功能後,電腦就有可能自動向攻擊者上傳 Gmail 的電郵內容,同時又會自動製作已竊取電郵地址清單以免重覆竊取,惡意擴充功能還有製作瀏覽器標籤頁清單的功能。

    Volexity 就向企業 IT 人員提供惡意軟件檢測工具 YARA規則檔,幫助他們檢查電腦有沒有被感染,同時建議企業攔截幾個 SHARPEXT 伺服器域名

    您會感興趣的內容

    相關文章