警惕!這款Chrome擴充套件程式可能會竊取你的密碼!
朝鮮APT組織使用了一款Google Chrome擴充套件程式來攻擊學術領域。
一個由國家支援的黑客組織使用了Google Chrome擴充套件程式來感染使用者,並從使用者的瀏覽器中竊取密碼和Cookies。在網路間諜活動領域中,此次事件或許是第一例。
這是APT(即高階持續性威脅,是民族國家黑客組織的行業術語)第一次使用Chrome擴充套件程式,但這並不是APT第一次使用瀏覽器擴充套件程式,如與俄羅斯政府黑客相關的Turla APT組織曾在2015年使用了Firefox瀏覽器的擴充套件程式。
Netscout的ASERT團隊在將於今天晚些時候釋出的一份報告中公開了細節,該報告表示,至少自2018年5月以來,魚叉式網路釣魚活動一直在推動惡意Chrome擴充套件程式。
黑客通過魚叉式網路釣魚電子郵件,使用從合法學術機構複製的網站來誘騙受害者。這些網路釣魚網站(現已被關閉)提供了一個PDF文件,但阻止使用者檢視這一文件,並將受害者引導至官方Chrome Web Store頁面以安裝名為Auto Font Manager的Chrome擴充套件程式(該程式現已刪除)。
Netscout研究人員表示該擴充套件程式能夠竊取cookie和網站密碼,但他們也看到了一些受影響賬戶所轉發的郵件。
Netscout的研究人員在接受ZDNet採訪時表示,使用此Chrome擴充套件程式的魚叉式網路釣魚活動針對的是學術界,但不願透露受害者的姓名。
研究人員告訴ZDNet:“我們能夠確定的是,三所位於美國的高校和一所位於亞洲的非營利學術機構成為了黑客的攻擊目標。”
研究人員在他們的報告中單獨補充說:“在眾多的高等學校中,很多都擁有生物醫學工程方面的專業知識,這可能是黑客發動攻擊的動機。”
但在研究最近這次攻擊時,研究人員還發現,在此前的一次黑客活動中,黑客通過RDP(遠端桌面連線)的方式來黑入大學的網路,該次攻擊所使用的基礎設施和託管這些網路釣魚站點的基礎設施是一樣的。
調查人員還補充說,最近一次攻擊活動背後的黑客(Netscout稱之為Stolen Pencil)在隱藏他們的追蹤記錄時非常草率。研究人員表示,他們發現有證據表明該組織可能駐紮在朝鮮。
研究人員說:“Poor OPSEC(網路安全方面的一種開放式平臺)讓使用者發現了開啟著的韓語網路瀏覽器,執行著的英語-韓語的翻譯器,以及切換到韓語設定的鍵盤。”
但是,儘管Netscout研究人員不希望將此活動與特定的朝鮮APT聯絡起來,但ZDNet昨天向多個行業新聞源展示的Chrome擴充套件檔案的雜湊指向了一個我們稱為Kimsuky(也稱為Velvet Chollima)的網路間諜組織。
2013年卡巴斯基實驗室的一份報告提供了將該組織與朝鮮政權聯絡起來的證據。同一份報告還詳細介紹了Kimsuky追求學術目標的傾向,這與最近的黑客活動相同。
至於黑客追求的是什麼,Netscout研究人員告訴ZDNet:“他們沒有看到任何資料被盜的證據,但是就像任何的入侵活動一樣,我們不能完全忽視這種可能性。他們也沒有專門用於竊取資訊的任何工具或命令,他們專注的是盜取憑證和維護訪問許可權。”
高等學校一直是民族國家黑客強有力的吸引目標,特別是那些尋求專有資料或未釋出研究的黑客。雖然眾所周知,中國和俄羅斯的黑客都會定期追蹤學術界,但伊朗黑客卻一直是最活躍的黑客。
在今年3月初,美國起訴了攻擊22個國家中320所高校的伊朗黑客,其中144所高校在美國。黑客竊取的一些研究論文最終發表在了由一些被起訴的黑客運營的付費網站上,這些黑客顯然找到了一種方法,可以從由國家贊助的日常黑客攻擊活動中獲得利潤。但這一起訴並未阻止伊朗黑客入侵。
原文作者:Catalin Cimpanu
編譯:信軟網