Специалисты как компании ASERT обнаружили, что некая кибершпионская группа (предположительно, имеющая отношение к Северной Корее) использует расширения для Chrome для кражи куки и паролей пользователей. Кампания получила название Stolen Pencil.

Исследователи отмечают, что Chrome используется для таких атак впервые, хотя это не первый случай эксплуатации браузерных аддонов в криминальных целях. Ранее таким образом использовались дополнения для Firefox, в частности, такую тактику применяла хак-группа Turla (12).

Эксперты рассказывают, что вредоносные расширения для Chrome используются как минимум с мая 2018 года. Злоумышленники рассылают таргетированные фишинговые письма, с помощью которых заманивают цели на сайты, копирующие настоящие сайты различных учебных учреждений. На этих ресурсах можно найти начало некого документа PDF, а для продолжения чтения пользователя просят перейти в Chrome Web Store и установить расширение Auto Font Manager (в настоящий момент уже удалено из каталога).

По данным аналитиков, данное расширение использовалось для кражи куки и паролей жертв. Исследователи не раскрывают названия пострадавших организаций, но сообщают, что среди них были три американских университета, а также некоммерческое образовательное учреждение в Азии. При этом многие жертвы неизвестных злоумышленников имели прямое отношение к биоинженерии, и исследователи полагают, что это и была основная цель атакующих, которые связаны с кибершпионажем.

Более того, та же инфраструктура, которая использовалась для поддержания работы вышеупомянутых фальшивых сайтов, ранее использовалась в ходе вредоносной кампании по взлому различных университетов через RDP.

Исследователи отмечают, что им удалось найти улики, указывающие, что группировка, стоящая за атаками, может иметь отношение к Северной Корее. Тем не менее, пока специалисты не готовы связать эту вредоносную кампанию с конкретной APT, хотя «почерк» злоумышленников похож на работу группы Kimsuky (она же Velvet Chollima).

Оставить мнение