ITmedia NEWS > 科学・テクノロジー >
セキュリティ・ホットトピックス

北朝鮮ハッカー集団によるGmailを盗み見るサイバー攻撃、Chrome拡張機能を活用Innovative Tech

» 2022年08月15日 08時00分 公開
[山下裕毅ITmedia]

Innovative Tech:

このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

 米セキュリティ会社Volexityは、北朝鮮政府がスポンサーのハッカー集団「SharpTongue」が手掛ける新たなハッキング方法に関する情報を発表した。「SHARPEXT」と呼ぶ今回のマルウェアは、ブラウザの拡張機能を用いてGmailやAOLメールの内容を盗み取る攻撃を行う。

SHARPEXTのワークフロー

 実はこのマルウェアは新しいものではなく、発見時の2021年9月には攻撃が始まっており、継続的な改善によりすでにバージョン3.0までアップデートしている。最初はGoogle Chromeだけだったが、最新バージョンではChromeに加え、Microsoft Edge、Naver Whaleの3つのブラウザへの攻撃をサポートしている。どれもChromiumベースだ。

 攻撃者はSHARPEXTを展開する前に、感染したコンピュータから拡張機能をインストールするために必要なファイル(ブラウザのresources.pakファイルのコピー、ユーザーSIDの値、ユーザーのシステムにあるオリジナルのPreferencesとSecure Preferencesのファイル)を抽出する。ブラウザのセキュリティを回避するためにこれらを事前に取得する。

 収集したファイルを使用し、展開時にブラウザが受け入れる新しいSecure PreferencesとPreferencesファイルを作成する。変更されたPreferencesファイルが配置されると、ブラウザは自動的にフォルダにある悪意のある拡張機能をロードする。

 SHARPEXTはPowerShellスクリプトでDevToolsの有効化を行い、被害者のブラウザに関連するプロセスを無限ループでチェックする。このPowerShellスクリプトは、DevToolsや被害者に警告を発するウィンドウを非表示にするため、被害者が攻撃に対して気が付きにくくしている点で巧妙である。

 悪意あるブラウザ拡張機能がインストールされると、GmailデータやAOLデータをリモートサーバにアップロードするなどのリクエストが可能となる。その際には、盗んだデータの重複を防ぐために、無視するメールアドレスリストの作成機能、すでに盗んだメールアドレスリストの作成機能、監視対象タブの一覧作成機能などのオプションが含まれる。

Copyright © ITmedia, Inc. All Rights Reserved.