สายลับไซเบอร์ใช้ส่วนขยาย Google Chrome จารกรรมข้อมูลอีเมลโดยไม่ถูกจับได้

กลุ่มภัยคุกคามที่มีเกาหลีเหนือหนุนหลังชื่อว่า Kimsuky ได้ใช้ส่วนขยายเบราว์เซอร์อันตรายในการขโมยข้อมูลอีเมลจากผู้ใช้ Microsoft Edge และ Google Chrome ด้วยการอ่านอีเมลจากหน้าเว็บของคนเหล่านั้น

ส่วนขยายที่ว่านี้ถูกเรียกว่า SHARPEXT โดยนักวิจัยจาก Volexity ซึ่งเป็นผู้ค้นพบส่วนขยายตัวนี้ในเดือนกันยายน ส่วนขยายดังกล่าวรองรับเว็บเบราว์เซอร์แบบ Chromium สามเบราว์เซอร์ (Chrome, Edge, และ Whale) และสามารถขโมยอีเมลจากบัญชี Gmail และ AOL ได้

ผู้โจมตีจะติดตั้งส่วนขยายอันตรายตัวนี้ลงไปหลังจากยึดระบบของเป้าหมายได้ด้วยสคริปต์ VBS ที่ปรับแต่งเอง ทำการแทนค่าไฟล์ “Preferences” และ “Secure Preferences” ด้วยไฟล์ที่ดาวน์โหลดจากเซิร์ฟเวอร์ C&C ของตัวมัลแวร์เอง

และเมื่อไฟล์ Preferences ตัวใหม่ถูกโหลดเข้าเครื่องเสร็จ เว็บเบราวเซอร์ก็จะโหลดส่วนขยาย SHARPEXT เข้ามาเองโดยอัตโนมัติ

“มัลแวร์ตัวนี้จะตรวจสอบและกรองข้อมูลจากบัญชีเว็บเมลของเหยื่อตอนที่พวกเขาเปิดเมลอ่านโดยตรง" Volexity บอกเมื่อวันพฤหัสบดี

"นับตั้งแต่ตอนที่เราเจอมันครั้งแรก ส่วนขยายตัวนี้พัฒนามาถึงเวอร์ชัน 3.0 แล้ว อิงตามระบบการกำหนดเวอร์ชันแบบภายใน”

Volexity เปิดเผยเพิ่มเติมในวันนี้ว่า เจ้าแคมเปญล่าสุดตัวนี้สอดคล้องกับการโจมตีโดย Kimsuky ก่อนหน้านี้ เนื่องจากมีการใช้ SHARPEXT ใน “การโจมตีแบบกำหนดเป้าหมายต่อนโยบายต่างประเทศ นิวเคลียร์ และบุคคลอื่นๆ ที่มีผลประโยชน์เชิงกลยุทธ์" ในสหรัฐอเมริกา ยุโรป และเกาหลีใต้

การโจมตีซ่อนเร้นมากประสิทธิภาพ

ส่วนขยายนี้ใช้ประโยชน์จากการที่เหยื่อล็อกอินบัญชีอีเมลตัวเองค้างไว้อยู่แล้วในการขโมยอีเมล การโจมตีนี้ไม่ถูกตรวจพบโดยผู้ให้บริการอีเมลของเหยื่อแต่อย่างใด จึงทำให้การตรวจจับเป็นไปได้ยากจนถึงขั้นเป็นไปไม่ได้
นอกจากนี้ เวิร์กโฟลว์ของส่วนขยายจะไม่กระตุ้นให้เกิดกิจกรรมที่น่าสงสัยใด ๆ ในบัญชีของเหยื่อ ส่งผลให้กิจกรรมอันตรายต่างๆ จะไม่ถูกตรวจเจออย่างแน่นอนหากมีการตรวจสอบสถานะของบัญชีเว็บเมลเพื่อดูการแจ้งเตือนใดๆ ก็ตาม

ผู้คุกคามชาวเกาเหลีเหนือยังสามารถใช้ SHARPEXT ในการเก็บข้อมูลได้อย่างกว้างขวางโดยใช้คำสั่งให้มีการระบุ:
- รายการอีเมลที่เก็บมาจากเหยื่อก่อนหน้านี้เพื่อให้มั่นใจว่าไม่ได้เก็บข้อมูลที่ซ้ำกันมา รายการที่ว่านี้มีการอัปเดตอย่างต่อเนื่องในขณะที่ SHARPEXT เปิดใช้งาน
- รายการโดเมนอีเมลที่เหยื่อได้สื่อสารด้วยก่อนหน้านี้ รายการที่ว่านี้มีการอัปเดตอย่างต่อเนื่องในขณะที่ SHARPEXT เปิดใช้งาน
- จัดเก็บข้อมูลบัญชีดำของผู้ส่งอีเมลที่ควรถูกเมินเฉยไปด้วยตอนเก็บอีเมลจากเหยื่อ
- เพิ่มโดเมนเข้ามาในรายการโดเมนทั้งหมดที่เหยื่อกดดู
- อัปโหลดสิ่งที่แนบมาในอีเมลใหม่ๆ ขึ้นเซิร์ฟเวอร์ระยะไกล
- ผู้โจมตียังสามารถแสดงความคิดเห็นได้ และเลือกรับรายการไฟล์ที่แนบมาเพื่อคัดกรองได้
- อัปโหลดข้อมูล AOL ขึ้นเซิร์ฟเวอร์ระยะไกล

นี่ไม่ใช่ครั้งแรกที่กลุ่ม APT เกาหลีเหนือใช้ส่วนขยายเบราว์เซอร์ในการเก็บรวบรวมและคัดกรองข้อมูลลับเฉพาะจากระบบที่ถูกเจาะของเป้าหมาย
ข้อมูลจากทีม ASERT ของ Netscout กล่าวในเดือนธันวาคม 2018 เผยว่า แคมเปญ spear-phishing โดยกลุ่ม Kimsuky ใช้ส่วนขยาย Chrome อันตรายในการจารกรรมมาตั้งแต่เดือนพฤษภาคม 2018 ในการโจมตีที่กำหนดเป้าหมายเป็นหน่วยงานทางวิชาการจำนวนมากในหลายมหาวิทยาลัย

CISA ยังออกประกาศเตือนที่เน้นกลวิธี รูปแบบการโจมตีของกลุ่มนี้รวมไปถึงกระบวนการ (TTPs) ของกลุ่ม โดยเน้นวิธีการที่กลุ่มนี้ใช้ส่วนขยายเบราว์เซอร์อันตรายในการขโมยข้อมูลประจำตัวและคุกกี้จากเว็บเบราวเซอร์ของเหยื่อ

ที่มา: https://bit.ly/3AOtA44