輕鬆規避 Gmail 密碼與雙因素認證,北韓惡意軟體能看光你所有信件

作者 | 發布日期 2022 年 08 月 05 日 8:30 | 分類 Google , 網路 , 資訊安全 line share follow us in feedly line share
輕鬆規避 Gmail 密碼與雙因素認證,北韓惡意軟體能看光你所有信件


網路安全方案商 Volexity 發現,北韓駭客集團 SharpTongue(又名 Kimsuky)又在動使用者 Gmail 帳號的歪腦筋。但和以往駭客竊取使用者名稱與密碼、然後再入侵帳號手法不同,駭客集團運用名為「SHARPEXT」的惡意軟體,能避開 Gmail 密碼與 2FA 雙因素認證,使用者瀏覽信件時,直接瀏覽信件內容並竊取資料。

惡意軟體會偽裝成瀏覽器擴充功能,透過像釣魚信件嵌入惡意連結等各種方式植入目標裝置。但前置攻擊作業很複雜,攻擊者必須先從目標裝置擷取若干資料,包括瀏覽器 resources.pak 檔、使用者 S-ID 值及瀏覽器 Preferences(初始偏好)及 Secure Preferences(安全偏好)檔。

一旦到手,駭客便會修改使用者 Secure Preferences 及 Preferences 檔,同時保持使用者現有設定,並掩蓋惡意軟體行蹤。這是令人意想不到的 Gmail 帳號登入手法,即使遭攻擊,使用者也完全不知道帳號遭入侵。目前受害族群偏布美國、歐洲及南韓。這「惡意」擴充功能(又稱外掛套件)攻擊手法用於 Chrome、Edge 及 Whale(南韓常用)等瀏覽器 Gmail 及 AOL 網頁信件。

經確認,「SHARPEXT」惡意軟體使用的瀏覽器擴充功能程式碼並未上架 Chrome 線上應用程式商店,駭客是從其他地方將惡意軟體植入目標裝置。但除非使用者點取惡意連結,或裝置有未知遠端程式碼執行漏洞且被駭客發現,不然駭客是無法植入「SHARPEXT」惡意軟體。

(首圖來源:Google Play