اكتشفت مجموعة من الباحثين برامج ضارة جديدة يستخدمها قراصنة كوريون لقراءة وتنزيل رسائل البريد الإلكتروني ومرفقات مستخدمي Gmail.
كان باحثو الأمن من شركة Volexity هم الذين وجدوا هذا البرنامج الضار الملقب بـ SHARPEXT الذين قاموا بتثبيت امتداد على متصفحي Chrome و Edge دون علم مستخدمي الإنترنت.
يمكنك أن تتخيل أن هذا الامتداد غير موجود في سوق Chrome الإلكتروني أو منصة تنزيل Microsoft الرسمية. إنه أكثر خداعًا لأنه يتيح لك التحايل على أكثر وسائل الأمان شيوعًا، مثل كلمة مرور جيدة وتفعيل المصادقة المزدوجة للوصول إلى حساباتك عبر الإنترنت.
وذكر الباحثون أن البرنامج الخبيث ينتشر منذ أكثر من عام. يقال إنه عمل مجموعة من قراصنة كوريا الشمالية، برعاية الحكومة لاستهداف المنظمات الأمريكية والأوروبية والكورية الجنوبية التي تعمل في مجال الأسلحة النووية وغيرها من القضايا التي يحكم عليها نظام كيم جونغ - وهو أمر مهم للأمن القومي للبلاد.
البرامج الضارة المعنية تستهدف فقط أجهزة الكمبيوتر التي تعمل بنظام Windows، ولكن لن يواجه المتسللون مشكلة في نقلها إلى أنظمة أساسية أخرى مثل macOS أو Linux . أشارت شركة Volexity في منشورها على المدونة إلى أن السجلات التي حصلوا عليها "تظهر أن المهاجم تمكن من سرقة آلاف رسائل البريد الإلكتروني من عدة ضحايا بفضل نشر البرامج الضارة".
لتحقيق أهدافهم، غالبًا ما يستخدم المتسللون طريقة التصيد الاحتيالي. يتم خداع الضحية لفتح مستند ضار تلقاه. يقوم البرنامج بعد ذلك بتثبيت امتداد في متصفح المستخدم دون أن يلاحظ المستخدم. عملية أكثر تعقيدًا مما تبدو عليه. وذلك لأن أمان متصفح الويب Chromium يمنع البرامج الضارة من تغيير إعدادات المستخدم الحساسة.
لذلك كان على المتسللين استخدام عملية بديلة تتضمن أولاً تعديل ملفات تفضيلات النظام ، ثم تثبيت امتداد المتصفح وتشغيل برنامج نصي Powershell ينشط أدوات مطور DevTools للسماح للبرامج الضارة بتشغيل تعليمات برمجية وإعدادات مخصصة مباشرة في متصفحات الويب. يشير باحثو Volexity إلى:
يعمل البرنامج النصي في حلقة لا نهائية تتحقق من العمليات المرتبطة بالمتصفحات المستهدفة. في حالة تشغيل المتصفحات المستهدفة ، يتحقق البرنامج النصي من عنوان علامة التبويب لكلمة رئيسية معينة مثل 05101190 أو Tab +. يتم إدراج الكلمة الأساسية المحددة في العنوان بواسطة الامتداد الضار عند تغيير علامة تبويب نشطة أو عند تحميل الصفحة. »
من هناك ، يمكن للنص البرمجي الذي يتم تشغيله امتصاص جميع البيانات من الصفحة ، مثل رسائل البريد الإلكتروني من حساب Gmail الخاص بك على سبيل المثال. البرنامج الضار SHARPNEXT قادر أيضًا على إنشاء قوائم تجاهل البريد الإلكتروني وتتبع الملفات المسروقة بالفعل أو حتى المرفقات.
