Công ty an ninh mạng Volexity (Hoa Kỳ) đã phát hiện phần mềm độc hại này đến từ một nhóm tin tặc có tên gọi là SharpTongue, nhóm này được cho là có nhiều điểm tương đồng với một nhóm gián điệp mạng có trụ sở tại Triều Tiên được gọi công khai dưới cái tên Kimsuky.
Lịch sử hoạt động của SharpTongue gồm các tin tặc làm việc cho các tổ chức ở Hoa Kỳ, châu Âu và Hàn Quốc về các chủ đề liên quan đến Triều Tiên, các vấn đề hạt nhân, hệ thống vũ khí và các vấn đề chiến lược khác mà Triều Tiên quan tâm.
Việc SharpTongue sử dụng các tiện ích mở rộng (plugin) giả mạo trong các cuộc tấn công không phải là điều mới. Vào năm 2018, một tin tặc đã bị phát hiện sử dụng một plugin của Chrome như một phần của chiến dịch có tên Stolen Pencil để lây nhiễm cho nạn nhân và đánh cắp cookie và mật khẩu của trình duyệt.
Điểm khác biệt ở chiến dịch này là plugin có tên Sharpext nhắm mục tiêu đánh cắp dữ liệu email. Các nhà nghiên cứu của Volexity cho biết: "Phần mềm độc hại trực tiếp kiểm tra và lấy dữ liệu từ tài khoản email của nạn nhân khi họ sử dụng trình duyệt".
Hình 1. Quy trình tấn công plugin Sharpext
Các trình duyệt được nhắm mục tiêu bao gồm trình duyệt Google Chrome, Microsoft Edge và Naver's Whale với phần mềm độc hại đánh cắp email được thiết kế để thu thập thông tin từ các phiên Gmail và AOL.
Việc cài đặt tiện ích bổ sung được thực hiện bằng cách thay thế các tệp tùy chọn và tùy chọn bảo mật của trình duyệt bằng các tệp nhận được từ máy chủ điều khiển từ xa.
Hình 2. Mã nguồn sử dụng để tải xuống và cài đặt plugin độc hại
Hình 3. Mã nguồn xác định các yêu cầu có liên quan
Nhóm tin tặc SharpTongue khai thác thành công bằng cách bật bảng DevTools trong tab đang hoạt động, để lấy cắp email và tệp đính kèm từ hộp thư của người dùng, đồng thời thực hiện các bước để ẩn bất kỳ thông báo nào về việc chạy tiện ích mở rộng chế độ nhà phát triển.
Volexity đã mô tả chiến dịch là khá thành công, với lý do tin tặc có khả năng đánh cắp hàng nghìn email từ nhiều nạn nhân thông qua việc triển khai plugin độc hại.
Các nhà nghiên cứu cho biết: “Đây là lần đầu tiên Volexity quan sát thấy các plugin độc hại trên trình duyệt được sử dụng như một phần của giai đoạn hậu khai thác. Bằng cách đánh cắp dữ liệu email trong bối cảnh phiên đã đăng nhập của người dùng. Do đó, cuộc tấn công được ẩn khỏi nhà cung cấp email, khiến việc phát hiện trở nên rất khó khăn".
Các phát hiện được đưa ra vài tháng sau khi các tin tặc của nhóm Kimsuky có liên quan đến các cuộc xâm nhập chống lại các tổ chức chính trị ở Nga và Hàn Quốc để cung cấp phiên bản cập nhật của trojan truy cập từ xa được gọi là Konni.
Trước đó vào trung tuần tháng 7/2022, công ty an ninh mạng Securonix (Hoa Kỳ) đã cung cấp thông tin chi tiết của một loạt các cuộc tấn công đang diễn ra nhằm khai thác các mục tiêu có giá trị cao, nhắm vào Cộng hòa Séc, Ba Lan và các quốc gia khác như một phần của chiến dịch có tên mã STIFF # BIZON nhằm phát tán phần mềm độc hại Konni.
Mặc dù, chiến thuật và công cụ được sử dụng trong các cuộc tấn công chỉ ra mối liên hệ với một nhóm tin tặc của Triều Tiên có tên APT37, nhưng bằng chứng thu thập được liên quan đến cơ sở hạ tầng tấn công cho thấy có sự tham gia của nhóm tin tặc APT28 (hay còn gọi là Fancy Bear hoặc Sofacy) liên quan đến Nga.
Các nhà nghiên cứu cho biết: “Điều làm cho cuộc tấn công này trở nên thú vị là việc sử dụng phần mềm độc hại Konni kết hợp với các điểm tương đồng về phương thức hoạt động với APT28. Tuy nhiên, không loại trừ khả năng việc một nhóm tin tặc giả mạo để gây nhầm lẫn giữa việc phân bổ khu vực hoạt động và ẩn danh".
Nguyệt Thu
(theo thehackernews)
17:00 | 23/07/2020
14:00 | 14/12/2022
11:45 | 23/12/2014
14:00 | 21/11/2022
12:00 | 25/08/2022
10:00 | 03/10/2022
16:00 | 03/08/2023
10:00 | 19/09/2022
12:00 | 25/10/2023
15:00 | 27/11/2024
Starbucks đang phải đối mặt với hậu quả của một cuộc tấn công sử dụng ransomware nhắm vào nhà cung cấp phần mềm cho thương hiệu này, khiến việc chấm công tại các cửa hàng phải chuyển qua phương pháp thủ công.
10:00 | 21/11/2024
Tòa án liên bang Mỹ tại quận phía Bắc California đã bác vụ kiện cáo buộc Google thu lợi bất chính từ các vụ lừa đảo thẻ quà tặng Google Play.
07:00 | 07/11/2024
Ngày 30/10, nền tảng LottieFiles đã phát đi cảnh báo về cuộc tấn công chuỗi cung ứng nhắm vào gói npm "lottie-player" của họ. Kẻ tấn công đã lén lút cài mã độc vào các phiên bản mới của gói này nhằm chiếm đoạt tiền điện tử từ ví của người dùng.
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
Công ty an ninh mạng VulnCheck (Mỹ) vừa qua đã lên tiếng cảnh báo rằng, tin tặc có thể đang khai thác một lỗ hổng bảo mật nghiêm trọng trên các máy chủ ProjectSend, vốn đã được vá cách đây khoảng một năm.
10:00 | 04/12/2024