德国联邦宪法保护办公室 (BfV) 和韩国国家情报局 (NIS) 的联合网络安全咨询警告称，专业黑客组织 Kimsuky 使用 Chrome 扩展程序窃取目标 Gmail 电子邮件。

Kimsuky（又名 Thallium、Velvet Chollima）是一个有东北亚某国背景的专业黑客组织，它使用鱼叉式网络钓鱼对外交官、记者、政府机构、大学教授和政治家进行网络间谍活动。最初专注于韩国的目标，随着时间的推移，该黑客团伙将行动扩展到美国和欧洲的目标实体。

发布联合安全公告是为了警告黑客组织使用的两种攻击方法——恶意 Chrome 扩展程序和 Android 应用程序。

虽然目前的活动针对的是韩国人，但 Kimsuky 使用的技术可以在全球范围内应用，因此提高认识至关重要。

窃取 Gmail 电子邮件

攻击始于一封鱼叉式网络钓鱼电子邮件，钓鱼邮件诱导受害者安装恶意 Chrome 扩展程序，该扩展程序还将安装在基于 Chromium 的浏览器中，例如 Microsoft Edge 或 Brave。

该扩展名为“AF”，只有当用户在浏览器的地址栏中输入“(chrome|edge| brave)://extensions”时，才能在扩展列表中看到。

一旦受害者通过受感染的浏览器访问 Gmail，扩展程序就会自动激活以拦截和窃取受害者的电子邮件内容。

该扩展程序滥用浏览器上的 Devtools API（开发人员工具 API）将窃取的数据发送到攻击者的中继服务器，在不破坏或绕过帐户安全保护的情况下偷偷窃取他们的电子邮件。

这不是 Kimsuky 第一次使用恶意 Chrome 扩展程序从被破坏的系统中窃取电子邮件。

2022 年 7 月，Volexity 报告了 一项使用名为“SHARPEXT”的扩展程序的类似活动。2018 年 12 月，Netscout 报道 称 Kimsuky 对学术界目标采取了同样的策略。

这一次，Kimsuky 在其最新攻击中使用的恶意文件的哈希值（MD5）是：

• 012D5FFE697E33D81B9E7447F4AA338B（manifest.json）
• 582A033DA897C967FAADE386AC30F604 (bg.js)
• 51527624E7921A8157F820EB0CA78E29 (dev.js)

Chrome 扩展感染链 (BfV)

安卓恶意软件

Kimsuky 使用的 Android 恶意软件被命名为“FastViewer”、“Fastfire”或“Fastspy DEX”，它 自 2022 年 10 月以来就为人所知，当时它伪装成安全插件或文档查看器。

韩国网络安全公司 AhnLab 报告称 ，黑客组织在 2022 年 12 月更新了 FastViewer，因此他们在其哈希值被公开报告后继续使用该恶意软件。

随着 Kimsuky 登录到受害者的 Google 帐户，他们之前通过网络钓鱼电子邮件或其他方式窃取了该帐户，从而展开了攻击。

接下来，黑客滥用 Google Play 的网络电话同步功能，该功能允许用户从他们的计算机（Play 商店网站）在他们的链接设备上安装应用程序来安装恶意软件。

攻击者称通过 Google Play 在受害者设备上安装的(恶意)应用程序已提交到 Google Play以进行“仅内部测试”，据称将受害者的设备添加为测试目标。

这种技术不适用于大规模感染，但当涉及到像 Kimsuky 运行的那些狭窄的目标操作时，它是例外且相当隐蔽的。

Android 恶意软件是一种 RAT（远程访问木马）工具，使黑客能够放置、创建、删除或窃取文件、获取联系人列表、执行呼叫、监控或发送 SMS、激活相机、执行键盘记录以及查看桌面。

Android 恶意软件感染链 (BfV)

随着 Kimsuky 继续发展其策略并开发更复杂的方法来破坏 Gmail 帐户，个人和组织必须保持警惕并实施稳健的安全措施。

这包括保持软件处于最新状态，对意外的电子邮件或链接保持谨慎，并定期监控帐户是否存在可疑活动。

参考链接：https://www.bleepingcomputer.com/news/security/north-korean-hackers-using-chrome-extensions-to-steal-gmail-emails/