Bezpečnostní experti si všimli hackerskú kampaň, ktorej cieľom je krádež obsahu e-mailových schránok
Bezpečnostní experti si všimli hackerskú kampaň severokórejskej skupiny Kimsuky. Mohla by prerásť do globálnych rozmerov.
Bezpečnostní experti z Nemecka a Kórei varujú, že severokórejskí hackeri používajú rozšírenia do prehliadača Google Chrome na to, aby ukradli Gmail účty svojich obetí. Konkrétne ide o hackerskú skupinu Kimsuky, ktorá na hackerské útoky používa metódu spear phishing.
Ide o metódu cieleného útoku, ktorá sa zameriava na krádeže prihlasovacích alebo platobných údajov vybraných obetí. Vo svojich útokoch sa zameriavajú hlavne na diplomatov, žurnalistov, členov vládnych agentúr, univerzitných profesorov a politikov, informuje portál Bleeping Computer. Najprv svoje útoky vykonávali na území Južnej Kórei, neskôr útočili aj na územiach Spojených štátov a Európy.
Bezpečnostní experti identifikovali dve primárne formy útokov. Prvou sú už spomínané podvodné rozšírenia, ďalšou sú Android aplikácie obsahujúce malvér. Kyberútok začína zaslaním e-mailu, v ktorom obeť žiadajú o urýchlenú inštaláciu Chrome rozšírenia. Toto rozšírenie však funguje na všetkých prehliadačoch, ktoré sú založené na jadre Chromium, akými sú napríklad Microsoft Edge, Brave a ďalšie.
Podvodné rozšírenie sa nazýva „AF“ a všimnúť si ho možno jedine v prípade, keď obeť navštívi adresu „chrome|edge|brave://extensions“. Toto škodlivé rozšírenie začína fungovať keď sa obeť útoku prihlási do svojho Gmail účtu. V tom momente ukradne obsah mailovej schránky obete. Ukradnuté dáta rozšírenie posiela na server útočníka. Hackeri tak dokážu ukradnúť maily obete bez toho, aby sa museli vysporiadať so zabezpečením.
Hackerská skupina Kimsuky je známa svojimi nebezpečnými Chrome rozšíreniami. Už v minulosti útočila podobným spôsobom.
Neprehliadnite
Aplikácie s malvérom
Čo sa týka nebezpečných Android aplikácií, Kimsuky používa malvéry FastViever, Fastfire či Fastspy DEX. Vo väčšine prípadov sa maskujú ako bezpečnostné aplikácie alebo prehliadače dokumentov. Ich podvodné aplikácie sa objavili v októbri minulého roku, no bezpečnostná spoločnosť AhnLab si všimla, že svoje aplikácie hackeri aktualizovali v decembri 2022.
V tomto prípade útok prebieha prihlásením sa do Google účtu obete, pomocou dát ktoré hackeri ukradli v predchádzajúcom útoku. Následne aktivujú v Obchode Play synchronizáciu smartfónu s webom a prostredníctvom nej nainštalujú do smartfónu škodlivé aplikácie.
Hackerské útoky by nefungovali až tak dobre, ak by sa skupina Kimsuky rozhodla útočiť vo veľkom. V prípade malého a cieleného útoku je však táto metóda mimoriadne účinná. Hackeri do Android zariadenia obete nainštalujú RAT, čo je druh trójskeho koňa, ktorý im umožní vzdialený prístup k smartfónu napadnutej osoby. Cez tohto trójskeho koňa môžu inštalovať, mazať či kradnúť súbory a oveľa viac. Získavajú prístup ku kontaktom, môžu vykonávať hovory a sledujú aj SMS správy alebo plochu smartfónu. Zároveň kradnú všetky údaje pomocou sledovania stlačených kláves.
Bezpečnostní experti upozorňujú, že skupina Kimsuky vo svojich útokoch pokračuje aj naďalej. Metódy hackerov sa aj naďalej vyvíjajú a hoci väčšina útokov prebieha na území Južnej Kórei, hackeri môžu zasiahnuť aj globálne. Radia, aby sme si dávali pozor na podozrivé maily a odkazy. Zároveň radia nečakať s aktualizáciami softvéru.
Komentáre