Peretas Korea Utara Menggunakan Ekstensi Peramban Berbahaya untuk Memata-matai Akun Email

  • Bagikan
Malicious Browser Extension

Beritaini.top Peretas Korea Utara Menggunakan Ekstensi Peramban Berbahaya untuk Memata-matai Akun Email

Ekstensi Peramban Berbahaya

Seorang aktor ancaman yang beroperasi dengan kepentingan yang selaras dengan Korea Utara telah menyebarkan ekstensi berbahaya di browser web berbasis Chromium yang mampu mencuri konten email dari Gmail dan AOL.

Perusahaan keamanan siber Volexity mengaitkan malware tersebut dengan kluster aktivitas yang disebutnya Lidah Tajamyang dikatakan berbagi tumpang tindih dengan kolektif bermusuhan publik disebut dengan nama Kimsuky.

SharpTongue memiliki sejarah memilih individu yang bekerja untuk organisasi di AS, Eropa, dan Korea Selatan yang “bekerja pada topik yang melibatkan Korea Utara, masalah nuklir, sistem senjata, dan hal-hal lain yang menarik bagi Korea Utara,” peneliti Paul Rascagneres dan Thomas Lancaster dikatakan.

KimsukyPenggunaan ekstensi jahat dalam serangan bukanlah hal baru. Pada tahun 2018, aktor tersebut melihat plugin Chrome sebagai bagian dari kampanye yang disebut Pensil yang Dicuri untuk menginfeksi korban dan mencuri cookie dan kata sandi browser.

Keamanan cyber

Tetapi upaya spionase terbaru berbeda karena menggunakan ekstensi, bernama Sharpext, untuk menjarah data email. “Malware secara langsung memeriksa dan mengekstrak data dari akun email web korban saat mereka menjelajahinya,” catat para peneliti.

Browser yang ditargetkan termasuk browser Google Chrome, Microsoft Edge, dan Naver’s Whale, dengan malware pencuri surat yang dirancang untuk mengumpulkan informasi dari sesi Gmail dan AOL.

Pemasangan add-on dilakukan dengan mengganti browser Preferensi dan Preferensi Aman file dengan yang diterima dari server jauh setelah berhasil menembus sistem Windows target.

Ekstensi Peramban Berbahaya

Langkah ini berhasil dengan mengaktifkan Panel DevTools dalam tab aktif untuk mencuri email dan lampiran dari kotak surat pengguna, sekaligus mengambil langkah untuk menyembunyikan apa pun pesan peringatan tentang menjalankan ekstensi mode pengembang.

“Ini adalah pertama kalinya Volexity mengamati ekstensi peramban berbahaya yang digunakan sebagai bagian dari fase kompromi pasca-eksploitasi,” kata para peneliti. “Dengan mencuri data email dalam konteks sesi pengguna yang sudah masuk, serangan disembunyikan dari penyedia email, membuat deteksi menjadi sangat menantang.”

Keamanan cyber

Temuan itu muncul beberapa bulan setelah aktor Kimsuky terhubung dengan intrusi terhadap institusi politik yang berlokasi di Rusia dan Korea Selatan untuk memberikan versi terbaru dari trojan akses jarak jauh yang dikenal sebagai Konni.

Pekan lalu, perusahaan keamanan siber Securonix mengakhiri kampanye serangan yang sedang berlangsung yang mengeksploitasi target bernilai tinggi, termasuk Republik Ceko, Polandia, dan negara-negara lain, sebagai bagian dari kampanye dengan nama kode STIFF#BIZON untuk mendistribusikan malware Konni.

Sementara taktik dan alat yang digunakan dalam penyusupan mengarah ke kelompok peretasan Korea Utara yang disebut APT37, bukti yang dikumpulkan berkaitan dengan infrastruktur serangan menunjukkan keterlibatan aktor APT28 (alias Fancy Bear atau Sofacy) yang bersekutu dengan Rusia.

“Pada akhirnya, apa yang membuat kasus ini menarik adalah penggunaan malware Konni dalam hubungannya dengan kemiripan tradecraft dengan APT28,” para peneliti dikatakanmenambahkannya bisa menjadi kasus satu kelompok yang menyamar sebagai yang lain untuk membingungkan atribusi dan lolos dari deteksi.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.