Figyelmeztetés a Kimsuky terjedésére
A Német Szövetségi Alkotmányvédelmi Hivatal (BfV) és a Koreai Köztársaság Nemzeti Hírszerző Szolgálata (NIS) közös kiberbiztonsági tanácsa arra figyelmeztet, hogy Kimsuky Chrome-bővítményeket használ a célpont Gmail-e-mailjei ellopására.
A Kimsuky (más néven Tallium, Velvet Chollima) egy észak-koreai csoport, amely lándzsás adathalászatot használ diplomaták, újságírók, kormányzati szervek, egyetemi tanárok és politikusok elleni kiberkémkedésre. A kezdetben dél-koreai célpontokra támadó csoport az amerikai egyesült államokra és európai szervezetekre is elkezdte használni a módszereit.
A közös biztonsági tájékoztatót azért adták ki, hogy figyelmeztessenek a hackercsoport által használt két támadási módszerre – egy rosszindulatú Chrome-bővítményre és Android-alkalmazásokra. A jelenlegi kampány a dél-koreai embereket célozza meg, a Kimsuky által használt technikák világszerte alkalmazhatók, ezért a figyelemfelkeltés létfontosságú.
A támadás egy adathalász e-maillel kezdődik, amelyben egy rosszindulatú Chrome-bővítmény telepítésére kényszeríti az áldozatot, amely Chromium-alapú böngészőkbe is telepíthető, például a Microsoft Edge vagy a Brave. A kiterjesztés neve „AF”, és csak akkor látható a bővítmények listájában, ha a felhasználó beírja a „(chrome|edge| brave)://extensions” címet a böngésző címsorába. Miután az áldozat a fertőzött böngészőn keresztül felkeresi a Gmailt, a bővítmény automatikusan aktiválódik, hogy elfogja és ellopja az áldozat e-mail tartalmát.
A Kimsuky által használt Android rosszindulatú program neve „FastViewer”, „Fastfire” vagy „Fastspy DEX”, és 2022 októbere óta ismert, amikor is biztonsági bővítménynek vagy dokumentumnézegetőnek álcázva látták. A koreai kiberbiztonsági cég, az AhnLab azonban arról számol be, hogy a fenyegetések szereplői 2022 decemberében frissítették a FastViewert, így folytatták a rosszindulatú program használatát, miután nyilvánosan jelentették annak hash-eit. A támadás úgy bontakozik ki, hogy Kimsuky bejelentkezik az áldozat Google-fiókjába, amelyet korábban adathalász e-mailekkel vagy más módon elloptak. Ezt követően a hackerek visszaélnek a Google Play web-telefon szinkronizálási funkciójával, amely lehetővé teszi a felhasználók számára, hogy számítógépükről (Play Store webhely) alkalmazásokat telepítsenek összekapcsolt eszközeikre a rosszindulatú program telepítéséhez.