Кибершпионы используют расширение Google Chrome для кражи писем

Екатерина Быстрова 29 Июля 2022 - 08:54

Таргетированные атаки

...

Кибершпионы используют расширение Google Chrome для кражи писем

Киберпреступная группировка Kimsuky, связанная, предположительно, с властями КНДР, использует вредоносное расширение для браузера, помогающее похищать электронные письма в браузерах Google Chrome и Microsoft Edge.

Злонамеренный аддон получил имя SHARPEXT. Исследователи из Volexity обратили внимание на эту кампанию ещё в сентябре. Расширение злоумышленников поддерживает три браузера, основанные на Chromium: Chrome, Edge и Whale.

С помощью SHARPEXT можно воровать почту из аккаунтов Gmail и AOL. Вредоносный аддон устанавливается после компрометации системы пользователя через кастомный VBS-скрипт. Этот скрипт подменяет файлы “Preferences” и “Secure Preferences” на загруженные с командного сервера (C2).

Как только новые файлы конфигурации скачиваются на устройство, браузер пользователя подгружает расширение SHARPEXT.

«Вредоносный аддон напрямую мониторит и извлекает данные из почтового аккаунта жертвы в тот момент, когда она проверяет входящие письма. Кстати, злоумышленники не забывают развивать и модернизировать расширение, в настоящий момент его версия — 3.0», — пишут специалисты Volexity.

Помимо этого, в Volexity отметили, что в последних кампаниях Kimsuky атакует деятелей внешней политики и других лиц, «представляющих стратегический интерес». Атаки группировки охватывают США, Европу и Южную Корею.

Сервис электронной почты не может детектировать вредоносную активность, поскольку расширение использует уже активную легитимную сессию пользователя. На стороне учетной записи жертвы также не будет никаких уведомлений о подозрительных действиях.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 09 Января 2025 - 16:35

Уязвимости программ Домашние пользователи Корпорации

Закрытая летом уязвимость OpenVPN переведена в разряд критических

В минувшем июне в OpenVPN пропатчили уязвимость, позволявшую записать мусорные данные в лог или вызвать перегрузку CPU. На тот момент проблема была признана умеренно опасной; в этом месяце оценку повысили до критической (9,1 балла CVSS).

Речь идет об уязвимости CVE-2024-5594, возникшей из-за неадекватной санации управляющих сообщений PUSH_REPLY. Как выяснилось, корень зла крылся в отсутствии проверки на наличие нулевых байтов и недопустимых символов в таких сообщениях.

Подобная оплошность открыла возможность внедрения произвольных данных в сторонние экзешники или плагины целевой системы. Используя с этой целью пир OpenVPN, злоумышленник мог, таким образом, не только вызвать состояние отказа в обслуживании (DoS), но также добиться выполнения вредоносного кода.

Патч вышел в июне в составе сборки 2.6.11, в следующем месяце был доработан и бэкпортирован для ветки 2.5. Одновременно в OpenVPN было устранено еще две уязвимости.

Проблема CVE-2024-4877 кроется в GUI, опасна только для Windows-платформы и грозит кражей токенов пользователя. Уязвимость CVE-2024-28882 позволяет подвесить соединение с сервером после инициализации сброса.

Пользователям OpenVPN рекомендуется обновить продукт до последней версии.