image

Spionagegroep steelt via Chrome-extensie e-mails uit Gmail-accounts

vrijdag 29 juli 2022, 11:11 door Redactie, 3 reacties

Onderzoekers hebben een malafide browser-extensie voor Google Chrome, Microsoft Edge en Naver Whale ontdekt waarmee een spionagegroep e-mails uit Gmail-accounts steelt, zo claimt securitybedrijf Volexity. Door op deze manier e-mails te stelen, waarbij er wordt meegelift op de ingelogde sessie van de gebruiker, blijft de aanval verborgen voor Google en is die lastig te detecteren.

Daarnaast ziet de gebruiker niet dat er bijvoorbeeld vanaf een verdacht ip-adres is ingelogd, aangezien de extensie in zijn browser actief is. De aanval wordt uitgevoerd door een groep genaamd Kimsuky, aldus Volexity, dat de extensie ontdekte. Het zou om een Noord-Koreaanse spionagegroep gaan die het heeft voorzien op personen die voor Amerikaanse, Europese en Zuid-Koreaanse organisaties werken die zich bezighouden met Noord-Korea, kernwapens, wapensystemen en andere strategische onderwerpen.

De eerste stap in de aanval is het infecteren van een doelwit met malware. Hiervoor maakt de groep gebruik van spearphishingmails. Eenmaal actief installeert de malware de malafide browser-extensie waarmee er berichten uit Gmail- en AOL-accounts worden gestolen en teruggestuurd naar de aanvallers. Daarbij houdt de extensie een overzicht bij van te negeren e-mailadressen, alsmede al gestolen e-mails en bijlagen.

Volgens Volexity heeft de Kimsuky-groep in het verleden vaker browser-extensies bij aanvallen ingezet, maar waren die bedoeld voor het stelen van gebruikersnamen en wachtwoorden. Nu richt de groep zich specifiek op het stelen van e-mails en is daar zeer succesvol mee, aldus het securitybedrijf. Uit verzamelde logs blijkt dat de aanvallers via de extensie bij meerdere slachtoffers duizenden e-mails wisten te stelen.

Reacties (3)
29-07-2022, 12:48 door Anoniem
Zijn die Koreanen nou zo slim of zijn ze bij Google nou zo dom?
29-07-2022, 17:51 door Anoniem
Door Anoniem: Zijn die Koreanen nou zo slim of zijn ze bij Google nou zo dom?

Spearphishing is nou niet bepaald een techniek die door de alledaagse crimineel wordt ingezet.
01-08-2022, 12:07 door Anoniem
"Chrome-extensie": beetje vaag toch? Welke extensie mag dat dan wel zijn?
Ik als leek denk dan: stel dat je hem hebt geïnstalleerd (eerst weten welke het is) heeft Google hem dan al uitgeschakeld of moet je dat zelf nog doen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.