浏览器扩展程序被用于隐秘的电子邮件窃取 媒体
朝鲜国家支持的网络威胁行动
关键要点
攻击工具:Kimsuky利用恶意的SHARPEXT浏览器扩展程序窃取Google Chrome和Microsoft Edge用户的Gmail和AOL邮箱。攻击手法:攻击者通过自定义的VBS脚本感染目标系统,下载SHARPEXT扩展并直接从受害者的邮箱中提取数据。目标受众:美国、韩国和欧洲与外交政策及核问题相关的个人成为Kimsuky行动的目标。朝鲜的网络组织Kimsuky最近被发现通过恶意的SHARPEXT浏览器扩展程序,窃取Google Chrome和Microsoft Edge浏览器用户的Gmail和AOL邮箱内容。根据BleepingComputer的报道,此次电子邮件盗窃行动最初是由Volexity研究人员在去年九月识别出的。
Kimsuky的攻击手法涉及攻击者利用自定义的VBS脚本来感染目标系统,并下载SHARPEXT扩展程序,以便进一步获取敏感信息。根据Volexity的描述,“该恶意程序在用户浏览邮箱时直接检查并提取受害者的webmail账户数据。”自被发现以来,SHARPEXT的版本已更新至30,且其功能已大幅增强。
以下是SHARPEXT扩展的一些主要功能:
功能描述电子邮件列表列出受害者先前的电子邮件和邮箱域名以避免重复记录。发件人黑名单收集收集电子邮件发件人黑名单以提高攻击效率。数据上传将附件、Gmail与AOL数据上传到远程服务器。此外,Kimsuky的前期行动已针对涉及外交政策和核问题的美国、韩国和欧洲个人进行攻击。这显现了其针对特定目标的能力和长远计划。
下载加速器各国应加强对网络威胁的防范,提高网络安全意识,以避免成为此类攻击的受害者。