გაორმაგებული ყურადღება: ჩრდილოეთ კორეელი ჰაკერები ჰაკერებენ ელ.წერილებს

კიბერუსაფრთხოების ფირმა Volexity აცხადებს, რომ ჩრდილოეთ კორეელი ჰაკერები არღვევენ ელ.წერილს კონტენტით სავსე გაფართოებების დახმარებით. მავნე, მაგრამ კვლავ ხელმისაწვდომია Chromium ბრაუზერისთვის. ხელსაწყოებს შეუძლიათ თვალთვალის ადევნონ Gmail-ისა და AOL-ის ანგარიშებთან დაკავშირებული ელ.წერილების შინაარსს.

Წაიკითხე მეტი: კარგი ჰაკერები: რიო დე ჟანეიროში მიმდინარე კონკურსი ღიაა რეგისტრაციისთვის

სიტუაციის გაგება

Volexity ანიჭებს შეჭრას კომპიუტერების ჯგუფს, რომლებიც ერთად მუშაობენ, სახელწოდებით SharpTongue. კომპანიის თქმით, აქტივობების კლასტერი იზიარებს აღმოჩენილ გადახურვებს კოლექტივთან, რომელიც საჯაროდ ცნობილია როგორც Kimsuky.

ეს არ არის პირველი შემთხვევა, როდესაც SharpTongue თავს დაესხა. მკვლევარები პოლ რასკანერესი და თომას ლანკასტერი ამტკიცებენ, რომ კასეტური მიდრეკილია შემოჭრისკენ ადამიანების ან მსხვილი ორგანიზაციების ელექტრონული მოწყობილობები, რომლებიც დაკავშირებულია შეერთებულ შტატებთან, ევროპასთან და Სამხრეთ კორეა.

მიზანია მოიძიოს სტრატეგიული ინფორმაცია, რომელიც დაკავშირებულია ბირთვულ საკითხებთან, შეიარაღებასთან და სხვა ინტერესებთან, რომლებიც აუცილებელია ჩრდილოეთ კორეის ცოდნის მისაღებად, თუნდაც არალეგალურად.

მავნე პროგრამა ხვდება სხვადასხვა ბრაუზერს

ჰაკერები, რომლებიც მუშაობენ ჩრდილოეთ კორეის ინტერესების დასაცავად, იყენებენ Sharpext გაფართოებას, რათა მიიღონ არასანქცირებული წვდომა ელფოსტაზე და მსხვერპლთა კომპიუტერებზე არსებულ მონაცემებზე.

მავნე პროგრამა შემოიპარება და ამოიღებს ხალხის ელ.ფოსტის მონაცემებს, სანამ ისინი კომპიუტერს იყენებენ. Google Chrome-ის გარდა, ასევე მოხვდა Microsoft Edge და Naver's Whale ბრაუზერები.

ჰაკერები ჯერ შეიჭრებიან მსხვერპლის კომპიუტერში და შემდეგ აყენებენ მავნე პროგრამას მავნე ბრაუზერის გაფართოების საშუალებით. მეორე ნაბიჯი შესრულებულია DevTools პანელის დახმარებით, Chrome-ის ხელსაწყო დეველოპერებისთვის.

ამრიგად, იმავდროულად, როდესაც მავნე პროგრამა მოქმედებს მსხვერპლის ელ.ფოსტის მონაცემების მოპარვის მიზნით, ის ასევე მალავს მომხმარებლის შეტყობინებებს დეველოპერის რეჟიმის გაფართოებების შესახებ. ამ მიზეზით, შეჭრის გამოვლენა მართლაც რთული და რთული ამოცანაა.

გამოძიება მიუთითებს ჩრდილოეთ კორეის ჰაკერების ჯგუფზე, რომელიც ცნობილია როგორც APT37, მაგრამ არსებობს მტკიცებულება, რომელიც რუსული ინფრასტრუქტურის გამო, თავდასხმაში ადანაშაულებს რუსულ ჰაკერებს. შეჭრა. ისინი ცნობილია როგორც დამპყრობლები APT28, Fancy Bear ან Sofacy.