Lập tức xóa những tiện ích mở rộng Chrome độc hại này để tránh bị hack Gmail

Những tin tặc đến từ Triều Tiên đang nhắm mục tiêu đến những nạn nhân cấp cao thông qua trình duyệt Google Chrome.

Theo TechRadar, các nhà nghiên cứu bảo mật đã phát hiện ra một tiện ích mở rộng của trình duyệt Chrome và các trình duyệt dựa trên Chromium khác có khả năng đánh cắp nội dung trong tài khoản Gmail.

Chiến dịch phát tán phần mềm độc hại được phát hiện bởi hai cơ quan an ninh quốc gia gồm Văn phòng Bảo vệ Hiến pháp Liên bang Đức và Cơ quan Tình báo Quốc gia của Hàn Quốc.

Hai cơ quan này đã đưa ra một tuyên bố chung nhằm cảnh báo về chiến dịch độc hại, kêu gọi mọi người cảnh giác, đặc biệt là các nhà ngoại giao, nhà báo, giáo sư đại học, chính trị gia và nhân viên chính phủ, những người được cho là mục tiêu chính của kẻ xấu.

Tiện ích có tên AF trên Chrome bị phát hiện âm thầm tấn công Gmail của người dùng.

AF là một tiện ích mở rộng của Google Chrome được phân phối bởi một kẻ đe dọa có tên là Kimsuky (hoặc Thallium). Hai cơ quan tuyên bố rằng tác nhân đe dọa này xuất phát từ Triều Tiên và được cho là đang nhắm mục tiêu vào các cá nhân có danh tiếng.

Ban đầu các mục tiêu được nhắm tới nằm ở Hàn Quốc, Thallium gần đây đã mở rộng châu Âu và Mỹ.

AF được gửi đến nạn nhân bằng hình thức lừa đảo qua email dưới dạng “khẩn cấp - urgent”, yêu cầu nạn nhân tải xuống tiện ích trên thiết bị đầu cuối của họ. Nếu được cài đặt, phần mềm độc hại sẽ “biến mất” trong danh sách tiện ích mở rộng trên Chrome. Sau đó, chỉ cần nạn nhân truy cập vào Gmail, tiện ích độc hại này sẽ chạy và trích xuất tất cả các hoạt động của họ.

Kimsuky dường như là một tác nhân được chính phủ Triều Tiên hậu thuẫn tập trung vào các hoạt động gián điệp mạng và thu thập thông tin tình báo. Theo CISA, nhóm này đã hoạt động hơn một thập kỷ.

Quy trình tấn công của tiện ích độc hại nhắm đến Gmail.

Vào năm 2015, kẻ này bị cáo buộc đánh cắp dữ liệu nhạy cảm từ cơ quan Năng lượng hạt nhân & Thủy điện Hàn Quốc (Korea Hydro & Nuclear Power). Sau đó vào năm 2019, các quan chức ngoại giao, quân đội và chính phủ đã nghỉ hưu của Hàn Quốc trở thành mục tiêu của kẻ này. Mới đây vào năm 2022, Kimsuky bị cáo buộc ẩn nấp trong các mạng lưới nội bộ của Viện Nghiên cứu Năng lượng Nguyên tử Hàn Quốc (Korea Atomic Energy Research Institute).

Nguồn: [Link nguồn]Nguồn: [Link nguồn]