اكتشف الباحثون برامج ضارة لم يسبق لها مثيل يستخدمها قراصنة كوريا الشمالية لقراءة وتنزيل رسائل البريد الإلكتروني والمرفقات خلسة من حسابات Gmail و AOL للمستخدمين المصابين.
يستخدم البرنامج الضار ، الذي أطلق عليه باحثون في شركة الأمن Volexity SHARPEXT ، طرقًا ذكية لتثبيت امتداد متصفح لمتصفحات Chrome و Edge ، حسبما أفاد موقع Volexity في تقرير مشاركة مدونة. لا يمكن اكتشاف الامتداد عن طريق خدمات البريد الإلكتروني ، وبما أن المتصفح قد تمت مصادقته بالفعل باستخدام جميع وسائل حماية المصادقة متعددة العوامل المعمول بها ، فإن هذا الإجراء الأمني الشائع بشكل متزايد لا يلعب أي دور ضمن حدود اختراق الحساب.
قال Volexity إن البرمجيات الخبيثة مستخدمة “منذ أكثر من عام” ، وهي من عمل مجموعة قرصنة تتعقبها الشركة تحت اسم SharpTongue. المجموعة برعاية حكومة كوريا الشمالية وتمتد على أ المجموعة تليها Kimsuky من قبل باحثين آخرين. تستهدف SHARPEXT المنظمات في الولايات المتحدة وأوروبا وكوريا الجنوبية التي تعمل في مجال الأسلحة النووية وغيرها من القضايا التي تعتبرها كوريا الشمالية مهمة لأمنها القومي.
قال رئيس Volexity ، ستيفن أدير ، في رسالة بالبريد الإلكتروني إن الامتداد تم تثبيته “من خلال التصيد الاحتيالي والهندسة الاجتماعية حيث يتم خداع الضحية لفتح مستند ضار. سابقًا ، رأينا الجهات الفاعلة في مجال التهديد من جمهورية كوريا الشعبية الديمقراطية تشن هجمات تصيد بالرمح حيث كان الهدف هو الخداع على الضحية تثبيت امتداد متصفح بدلاً من آلية ما بعد الاستغلال للاستمرار وسرقة البيانات “. في تجسيدها الحالي ، تعمل البرامج الضارة فقط على نظام التشغيل Windows ، لكن Adair قال إنه لا يوجد سبب لعدم إمكانية توسيعه ليشمل أيضًا المتصفحات التي تعمل بنظام macOS أو Linux.
يضيف منشور المدونة: “تظهر رؤية Volexity الخاصة أن الامتداد كان ناجحًا للغاية ، حيث تُظهر السجلات التي حصل عليها Volexity أن المهاجم تمكن من سرقة آلاف رسائل البريد الإلكتروني من عدة ضحايا من خلال نشر البرامج الضارة.
ليس من السهل تثبيت امتداد متصفح أثناء عملية التصيد الاحتيالي دون أن يلاحظ المستخدم النهائي. من الواضح أن مطوري SHARPEXT اهتموا بالبحث مثل ما يتم نشره هناو هناو هنا، والذي يوضح كيف تمنع آلية الأمان في محرك متصفح Chromium البرامج الضارة من تغيير إعدادات المستخدم الحساسة. في كل مرة يتم إجراء تغيير شرعي ، يأخذ المتصفح تجزئة تشفير لجزء من الكود. عند بدء التشغيل ، يتحقق المتصفح من التجزئة ، وإذا لم يتطابق أي منها ، يطلب المستعرض استعادة الإعدادات القديمة.
لكي يتجاوز المهاجمون هذه الحماية ، يجب عليهم أولاً استخراج العناصر التالية من جهاز الكمبيوتر الذي يتعرضون للخطر:
- نسخة من ملف resources.pak في المتصفح (الذي يحتوي على بذرة HMAC التي يستخدمها Chrome)
- المستخدمين قيمة S-ID
- تفضيلات النظام الأصلية للمستخدم وملفات التفضيلات الآمنة
بعد تعديل ملفات التفضيلات ، يقوم SHARPEXT تلقائيًا بتحميل الامتداد وتشغيل برنامج نصي PowerShell يمكّن DevTools ، وهو إعداد يسمح للمتصفح بتشغيل تعليمات برمجية وإعدادات مخصصة.
أوضح Volexity: “يعمل البرنامج النصي في عمليات فحص حلقة لا نهائية مرتبطة بالمتصفحات المستهدفة”. “إذا تم العثور على المتصفحات المستهدفة قيد التشغيل ، يتحقق النص البرمجي من عنوان علامة التبويب لكلمة رئيسية معينة (على سبيل المثال” 05101190 “أو” Tab + “اعتمادًا على إصدار SHARPEXT). يتم إدراج الكلمة الأساسية المحددة في العنوان عن طريق امتداد البرامج الضارة عندما تتغير علامة تبويب نشطة أو عند تحميل الصفحة “.
وتابعت الرسالة:
الضربات المرسلة تعادل
Control+Shift+J
، الاختصار لتنشيط لوحة DevTools. أخيرًا ، يخفي البرنامج النصي PowerShell نافذة DevTools المفتوحة حديثًا باستخدام ملف ShowWindow () API و الSW_HIDE
علَم. في نهاية هذه العملية ، يتم تنشيط DevTools في علامة التبويب النشطة ، لكن النافذة مخفية.بالإضافة إلى ذلك ، يتم استخدام هذا البرنامج النصي لإخفاء جميع النوافذ التي قد تنبه الضحية. Microsoft Edge ، على سبيل المثال ، يعرض بشكل دوري رسالة تحذير للمستخدم (الشكل 5) إذا كانت الملحقات تعمل في وضع المطور. يتحقق البرنامج النصي باستمرار من ظهور هذه النافذة وإخفائها باستخدام الأمر
ShowWindow()
و الSW_HIDE
علَم.
بمجرد التثبيت ، يمكن للملحق تنفيذ الطلبات التالية:
بيانات HTTP POST | الوصف |
الوضع = القائمة | ضع قائمة برسائل البريد الإلكتروني التي تم جمعها مسبقًا من الضحية للتأكد من عدم تحميل النسخ المكررة. يتم تحديث هذه القائمة باستمرار أثناء تشغيل SHARPEXT. |
الوضع = المجال | ضع قائمة بمجالات البريد الإلكتروني التي اتصلت بها الضحية بالفعل. يتم تحديث هذه القائمة باستمرار أثناء تشغيل SHARPEXT. |
أزياء = أسود | اجمع قائمة سوداء لمرسلي البريد الإلكتروني الذين يجب تجاهلهم أثناء جمع رسائل البريد الإلكتروني الخاصة بالضحايا. |
الوضع = newD & d =[data] | أضف مجالًا إلى قائمة جميع المجالات التي شاهدها الضحية. |
الوضع = إرفاق & الاسم =[data]& معرف =[data]& الجسم =[data] | تحميل مرفق جديد إلى الخادم البعيد. |
أزياء = جديد ومتوسط =[data]& mbody =[data] | تحميل بيانات Gmail إلى الخادم البعيد. |
الوضع = أتليست | وعلق عليها المعتدي. تلقي قائمة المرفقات للتسلل. |
الوضع = new_aol & mid =[data]& mbody =[data] | قم بتنزيل بيانات AOL على الخادم البعيد. |
يسمح SHARPEXT للمتسللين بإنشاء قوائم تجاهل لعناوين البريد الإلكتروني وتتبع رسائل البريد الإلكتروني أو المرفقات التي تمت سرقتها بالفعل.
أنشأ Volexity الملخص التالي لتزامن مكونات SHARPEXT المختلفة التي قام بتحليلها:
يوفر منشور المدونة صورًا وأسماء ملفات ومؤشرات أخرى يمكن للأفراد المدربين استخدامها لتحديد ما إذا كان قد تم استهدافهم أو إصابتهم بهذه البرامج الضارة. حذرت الشركة من أن التهديد الذي تشكله قد نما بمرور الوقت ولا يُتوقع زواله في أي وقت قريب.
وقالت الشركة: “عندما واجهت Volexity لأول مرة SHARPEXT ، بدا أنها أداة تطوير مبكرة مع العديد من الأخطاء ، مما يشير إلى أن الأداة كانت غير ناضجة”. “تظهر التحديثات الأخيرة والصيانة المستمرة أن المهاجم يحقق أهدافه ، ويجد قيمة من خلال الاستمرار في تحسينها.”
“Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert.”