美國網絡安全機構 Volexity 日前發表報告,指一個受北韓政府支持的駭客集團 SharpTongue 開發出一種新的攻擊手法 SHARPEXT,利用從 Chrome 瀏覽器擴充功能取得的資料,來竊取受害者的 Gmail 內容。
SHARPEXT 其實 2021 年開始出現的惡意軟件,最初只可以用來攻擊 Chrome ,改良至現在 3.0 版本,已可以用來攻擊 Chrome 、 Microsoft Edge 和另一款基於 Chromium 架構的瀏覽器 Naver Whale 。
攻擊者在部署 SHARPEXT 之前,需要事前從用戶的電腦取得一些檔案,以便製作出目標電腦的 Chromium 瀏覽器安裝擴充功能時所接納的檔案。這些檔案包括存有 Chrome 所用的 HMAC 種子的瀏覽器 resources.pak 檔案、用戶的 SID 和系統的偏好設定及保安偏好設定檔。取得這些資料後,攻擊者就會製作一個新的保案偏好設定和一般偏好設定檔,以繞過瀏覽器的安全保護,並自動從文件夾中載入嵌入惡意功能的 Chrome 擴充功能。
SHARPEXT 會透過 Windows PowerShell 腳本程式執行 DevTools ,持續監視受害者電腦瀏覽器的進程,這腳本程式還會關閉受害者的 DevTools 和警告視窗,令受害者難以察覺得自己的瀏覽器被駭。
一旦被安裝了惡意擴充功能後,電腦就有可能自動向攻擊者上傳 Gmail 的電郵內容,同時又會自動製作已竊取電郵地址清單以免重覆竊取,惡意擴充功能還有製作瀏覽器標籤頁清單的功能。
Volexity 就向企業 IT 人員提供惡意軟件檢測工具 YARA 的規則檔,幫助他們檢查電腦有沒有被感染,同時建議企業攔截幾個 SHARPEXT 伺服器域名。