サイバーセキュリティ企業 Volexity の研究者は、パスワードや 2 要素認証 (2FA) キーを必要とせずに、Gmail や AOL Web メールの受信トレイから電子メールを盗む機能を持つ、新しい悪意のあるブラウザ拡張機能を発見しました。
Volexityの研究者らによって「SHARPEXT」と名付けられたこの拡張機能は、北朝鮮が支援する脅威グループ「SharpTongue」(別名「Kimsuky」)と関連付けられている。
SharpTongueには、北朝鮮、核問題、兵器システム、その他の北朝鮮にとって戦略的関心事に関わるテーマに取り組む米国、欧州、韓国の組織に雇用されている個人を標的にし、被害者を出してきた歴史がある。」
研究者らによると、Volexity は 2021 年 9 月に、SharpTongue によって使用される文書化されていない興味深いマルウェア ファミリを観察し始めました。発見以来、この拡張機能は成長を続けており、現在は内部バージョン管理システムに基づいたバージョン 3.0 です。
「SHARPEXT は、ユーザー名とパスワードを盗もうとしないという点で、「Kimsuky」攻撃者によって使用された以前に文書化された拡張機能とは異なります。むしろ、マルウェアは、被害者の Web メール アカウントを閲覧するときに、そのアカウントからデータを直接検査して窃取します。」書きましたブログ投稿で。
Volexity が調査した SHARPEXT の最初のバージョンでは、このマルウェアは Google Chrome のみをサポートしていました。ただし、最新バージョン 3.0 は、Google Chrome、Microsoft Edge、および Naver の Whale ブラウザをサポートしており、Gmail と AOL Web メールの両方から電子メールを盗むことができます。
攻撃者は、マルウェアのコマンド アンド コントロール (C2) サーバーからダウンロードされたブラウザの基本設定ファイルと安全な基本設定ファイルを、カスタム VBS スクリプトを使用してリモート サーバーから受信したファイルに置き換えることにより、被害者のデバイスに悪意のある拡張機能をインストールします。
新しい環境設定ファイルが侵害されたデバイスにダウンロードされると、Web ブラウザは、開発者モード拡張機能の実行に関する警告メッセージを非表示にするよう注意しながら、SHARPEXT 拡張機能を静かに読み込みます。このため、被害者の電子メール プロバイダーにとって検出は不可能ではないにしても非常に困難になります。
「Volexity が、侵害の悪用後の段階の一部として使用される悪意のあるブラウザ拡張機能を観察したのはこれが初めてです。ユーザーがすでにログインしているセッションのコンテキストで電子メール データを盗むことにより、攻撃は電子メール プロバイダーから隠蔽され、検出が非常に困難になります」と研究者らは述べています。
「同様に、この拡張機能の仕組みは、ユーザーが確認したとしても、不審なアクティビティは電子メールの「アカウント アクティビティ」ステータス ページに記録されないことを意味します。」
オンラインで自分自身を守るための対策
Volexity では、このような攻撃を幅広く検出して調査するために次のことを推奨しています。
- PowerShell はマルウェアのセットアップとインストールにおいて重要な役割を果たすため、PowerShell ScriptBlock ログの結果を有効にして分析します。これは、悪意のあるアクティビティの特定と優先順位付けに役立つ可能性があります。
- 高リスク ユーザーのマシンにインストールされている拡張機能を定期的に確認して、Chrome ウェブストアで入手できない拡張機能や、異常なパスから読み込まれた拡張機能を特定します。
こうした特定の攻撃を防ぐために、セキュリティ会社は次のことを提案しています。