Воскресенье , Декабрь 16 2018
Домой >> Новости >> Кибершпионская группа использует расширения для Chrome против своих жертв

Кибершпионская группа использует расширения для Chrome против своих жертв

Кибершпионская группа использует расширения для Chrome против своих жертв

Специалисты как компании ASERT обнаружили, что некая кибершпионская группа (предположительно, имеющая отношение к Северной Корее) использует расширения для Chrome для кражи куки и паролей пользователей. Кампания получила название Stolen Pencil.

Исследователи отмечают, что Chrome используется для таких атак впервые, хотя это не первый случай эксплуатации браузерных аддонов в криминальных целях. Ранее таким образом использовались дополнения для Firefox, в частности, такую тактику применяла хак-группа Turla (1, 2).

Эксперты рассказывают, что вредоносные расширения для Chrome используются как минимум с мая 2018 года. Злоумышленники рассылают таргетированные фишинговые письма, с помощью которых заманивают цели на сайты, копирующие настоящие сайты различных учебных учреждений. На этих ресурсах можно найти начало некого документа PDF, а для продолжения чтения пользователя просят перейти в Chrome Web Store и установить расширение Auto Font Manager (в настоящий момент уже удалено из каталога).

Кибершпионская группа использует расширения для Chrome против своих жертв

По данным аналитиков, данное расширение использовалось для кражи куки и паролей жертв. Исследователи не раскрывают названия пострадавших организаций, но сообщают, что среди них были три американских университета, а также некоммерческое образовательное учреждение в Азии. При этом многие жертвы неизвестных злоумышленников имели прямое отношение к биоинженерии, и исследователи полагают, что это и была основная цель атакующих, которые связаны с кибершпионажем.

Более того, та же инфраструктура, которая использовалась для поддержания работы вышеупомянутых фальшивых сайтов, ранее использовалась в ходе вредоносной кампании по взлому различных университетов через RDP.

Исследователи отмечают, что им удалось найти улики, указывающие, что группировка, стоящая за атаками, может иметь отношение к Северной Корее. Тем не менее, пока специалисты не готовы связать эту вредоносную кампанию с конкретной APT, хотя «почерк» злоумышленников похож на работу группы Kimsuky (она же Velvet Chollima).

Смотрите также

Что есть конфиденциальность в криптовалютной сфере

СМИ чаще всего описывают криптовалюты как анонимные средства платежей, хотя некоторые авторы высказывают предположение о …

Добавить комментарий