Kuzey Koreli Bilgisayar Korsanları, Chrome'dan E-posta Çalmak İçin Kötü Amaçlı Tarayıcı Uzantısı Kullanıyor

Kuzey Koreli bir hacker grubu olan Kimsuky'nin, e-postaları yakalayan ve çalan kötü amaçlı bir tarayıcı uzantısının yardımıyla büyük web tarayıcılarını hacklediğine inanılıyor.

Eylül ayında bu kampanyayı ilk fark eden Volexity'deki araştırmacılar, uzantıyı SHARPEXT olarak adlandırdı. Bu kötü amaçlı uzantının uyumlu olduğu üç farklı Chromium tabanlı web tarayıcısı vardır:

Google Chrome

Microsoft Edge

Whale

Gizli Yapılanlar

Ayrıca, bu kötü amaçlı uzantı Gmail ve AOL kullanıcılarının hesaplarından e-posta da çalabilir. Bir hedefin sisteminin güvenliğini aşmak için özel bir VBS komut dosyası kullanmanın bir sonucu olarak, saldırganlar bu kötü amaçlı uzantıyı sisteme yükler.

Bunu başarmak için, aşağıda bahsettiğimiz iki tür dosyayı, kötü amaçlı yazılımın C2 sunucusundan indirilen dosyalarla değiştirirler:

• Ayarlar dosyaları
• Güvenli Ayarlar dosyaları

Bu son kampanyaya ek olarak, Kimsuky, SHARPEXT'in konuşlandırıldığı aşağıdaki ülkelerde de benzer kampanyalar başlattı:

• Amerika Birleşik Devletleri
• Avrupa
• Güney Kore

Etkili Taktikler

Bu saldırı, kurbanın e-posta sağlayıcısı, saldırganın e-postaları çalmak için hedefin zaten oturum açmış olan oturumunu kullandığını bilmediği sürece algılanmadan kalabilir.

Sonuç olarak, bu şekilde tespit etmek son derece zorlaşır. Uzantının iş akışının bir sonucu olarak kurbanların hesaplarında şüpheli bir etkinlik uyarısı tetiklenmez.

Uyarılar için web posta hesabı durum sayfasını denetlerseniz, uyarılar görünmeyeceğinden kötü amaçlı etkinliği keşfedemezsiniz.

Yasadışı Aktarımlar Ve Toplanan Veriler

SHARPEXT kullanarak Kuzey Koreli tehdit aktörleri tarafından toplanabilecek çok çeşitli bilgiler var. Aşağıda onlardan bahsettik:

• Daha önce kurbandan toplanan tüm e-postaların bir listesini yapabilir.
• Kurbanın daha önce iletişim kurduğu e-posta etki alanlarını listeyebilir.
• E-posta gönderenlerin kara listesini toplayabilir.
• Kurban tarafından görüntülenen tüm etki alanları listesine bir etki alanı ekleyebilir.
• Uzak sunucuya yeni bir ek yükleyebilir.
• Gmail verilerini uzak sunucuya yükleyebilir.
• Saldırgan tarafından yorumlanan; sızdırılacak bir ekler listesi alabilir.
• AOL verilerini uzak sunucuya yükleyebilir.

Saldırı Azaltma Önerileri

Aşağıda tüm saldırı azaltma önerilerinden bahsettik:

• PowerShell ScriptBlock günlüğünü etkinleştirin.
• PowerShell ScriptBlock günlüğünün sonuçlarını analiz edin.
• Yüksek riskli kullanıcıların makinelerine yüklenen tüm uzantıların incelendiğinden emin olun.
• İlgili etkinliğin algılanması için YARA kurallarını kullanabilirsiniz.
• Verilen IOC'ler bloke edilmelidir.

Vereceğim öneriler bu kadardı yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.